Welcome to WordPress. This is your first post. Edit or delete it, then start writing!
Welcome to WordPress. This is your first post. Edit or delete it, then start writing!
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.
PERSONAL DATA PROCESSING AND PROTECTION POLICY
SECTION 1: INTRODUCTION
1.1. INTRODUCTION
With the Personal Data Protection Law, the protection of the data of individuals whose data are processed has become a fundamental necessity for every company. Therefore, especiallypaying utmost attention to access to individuals’ private lives and information, taking effectiveand deterrent measures in this regard, and being transparent to our customers, potentialcustomers, visitors, company officials, all parties and institutions we cooperate with, in short, to every person whose data we process that is directly or indirectly associated with ourcompany constitute the primary goal of our company’s data policy.
Our company, with this Policy, sets and implements our rules regarding the processing of personal data within the framework of transparency and openness principles.
1.2. PURPOSE AND SCOPE OF THE POLICY
The primary purpose of this policy is to protect the fundamental rights and freedoms of individuals whose data are processed, especially the privacy of private life, and in this sense, to ensure the transparency of every activity carried out by our company through publicenlightenment.
The scope of the provisions of this policy includes all personal data of individuals whose data we process directly or indirectly.
1.3. IMPLEMENTATION OF LEGISLATION
Relevant legal regulations in force regarding the processing and protection of personal data will primarily find application. In case of any discrepancy between the existing legislation andthe Policy, our Company accepts that the applicable legislation will take precedence. ThePolicy regulates the rules set forth by the relevant legislation within the scope of Companypractices by concretizing them.
SECTION 2: DEFINITIONS AND ABBREVIATIONS
The terms used in the implementation of this Policy express the meanings given below:
Employees: Refers to the employees of our Company.
Contact Person: Is the person responsible for individually monitoring the personal data processing activities within our Company and the implementation of the PDPL (Personal Data Protection Law) Policy and procedures. Acts as the contact person of our Company within thecontext of the PDPL Legislation in the registry of data controllers.
Personal Data: Refers to any information related to an identified or identifiable natural person. For example; name, surname, address, telephone number, date of birth, place of birth, eyecolor, Turkish Identification Number.
Personal Data Owner or Data Subject: Is the real person whose personal data is processed. For example; employee, visitor.
Processing of Personal Data: Refers to any operation performed on personal data, wholly orpartly by automated means or otherwise than by automated means provided that it forms partof a data recording system. For example; obtaining, recording, storing, modifying, transferring.
PDPL: Refers to the Law on the Protection of Personal Data No. 6698.
PDPL Board: Refers to the Personal Data Protection Board. It is the decision-making body of the PDPL Institution.
PDPL Institution: Refers to the Personal Data Protection Institution established by thePersonal Data Protection Law No. 6698.
PDPL Legislation: Refers to the legal regulations related to the protection of personal data and the decisions of the PDPL Board, primarily the Personal Data Protection Law No. 6698.
PDPL Policies and Procedures: Refers to the Personal Data Protection and Processing Policy, other policies and procedures of our company related to the protection and processing of personal data, and various documents referenced by these policies and procedures prepared byour company.
Special Categories of Personal Data: Data related to individuals’ race, ethnic origin, politicalopinions, philosophical beliefs, religion, sect or other beliefs, appearance and dressing, membership in associations, foundations, or unions, health, sexual life, criminal convictionsand security measures, and biometric and genetic data.
Data Recording System: A system where personal data are processed and organized accordingto specific criteria. For example, archiving documents in folders or files.
Data Controller: The real or legal person who determines the purposes and means of processing personal data, responsible for establishing and managing the data recordingsystem. Unless stated otherwise, within the scope of this Policy, the data controller is ourCompany and our company brands (Inspera).
SECTION 3: ISSUES RELATED TO THE PROCESSING OF PERSONAL DATA
3.1. GENERAL PRINCIPLES IN THE PROCESSING OF PERSONAL DATA
3.1.1 Being in Compliance with the Law and Integrity Rules
The processing of individuals’ data must be in compliance with the law and integrity rulesthroughout the processing operation. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. processes data with utmost sensitivity and control, in accordance with thelaw and integrity rules.
3.1.2 Being Accurate and When Necessary, Up to Date
The processed data must be accurate, and when necessary, kept up to date. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. ensures the accuracy of theprocessed data at every stage of processing and makes the necessary preparations to keep it upto date when required.
3.1.3 Being Processed for Specified, Explicit, and Legitimate Purposes
The data must be processed for specific, explicit, and legitimate purposes. It must be clearwhich data are being processed, to what extent, and for what purpose. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. processes data only for legitimatepurposes and ensures the data obtained during this process are specified. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. processes data clearly and explicitly toprevent misuse and misunderstanding.
3.1.4 Being Relevant, Limited, and Proportionate to the Purposes for Which They AreProcessed
The data must be processed in a way that is relevant, limited to, and proportionate with thepurposes they are processed for. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. processes data in a controlled manner, strictly related to and limited by thepurposes for which they are processed.
3.1.5 Retention for the Period Prescribed by the Relevant Legislation or Necessary for thePurpose for Which They Are Processed
Processed personal data must be retained for the period specified in the relevant legislation orthe period specified for the relevant purpose, acting with the intent of maximum protection. Inthis context, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. primarily retains personal data for the period prescribed in the relevant legislation. If noperiod is specified in the legislation or there is no legal reason requiring the data to be kept fora longer period, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. retains personal data for the period necessary for the purpose for which they are processed. Thus, the security of the data subjects is maximized.
3.2 CONDITIONS FOR PROCESSING PERSONAL DATA
3.2.1 Conditions for processing personal data
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. processes the data of the data subjects in accordance with the law and legal compliance, following the conditions of the relevant legislation stated below.
General Conditions for Processing Personal Data
General Category Data Concept: The concept of personal data processed by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC., which does not fall into thespecial category data mentioned in this section, constitutes the general category personal data.
General Condition: Personal data cannot be processed without the explicit consent of therelated person.
Exceptions: In the presence of one of the following conditions, personal data can be processedwithout seeking the explicit consent of the related person:
Explicitly foreseen by laws.
Necessary for the protection of life or physical integrity of the person who is physically orlegally incapable of giving consent or whose consent is not legally recognized.
Necessary for processing personal data belonging to the parties of a contract, provided that it is directly related to the establishment or execution of that contract.
Necessary for the data controller to fulfill its legal obligation.
Made public by the related person himself/herself.
Necessary for the establishment, exercise, or protection of a right.
Necessary for the data processing for the legitimate interests of the data controller, providedthat it does not harm the fundamental rights and freedoms of the related person.
Conditions for Processing Special Category Personal Data
Special Category Data Concept: Data related to individuals’ race, ethnic origin, politicalopinions, philosophical beliefs, religion, sect or other beliefs, appearance and dressing, membership in associations, foundations, or unions, health, sexual life, criminal convictionsand security measures, and biometric and genetic data are considered special categorypersonal data.
General Condition: Processing special category personal data without the explicit consent of the person concerned is prohibited.
Exceptions and Special Cases: Personal data, except for health and sexual life mentioned in the first paragraph, can be processed without seeking the explicit consent of the personconcerned in cases foreseen by laws.
Our company obtains explicit consent from the data subjects when processing and storingspecial category data related to specific health problems.
Personal data related to health and sexual life can only be processed for the purposes of protecting public health, preventive medicine, medical diagnosis, treatment and care services, and the management of health services and financing, without the explicit consent of theperson concerned. for planning and management of financing, can be processed without theexplicit consent of the person concerned by individuals or authorized institutions andorganizations under the obligation of confidentiality.
Personal Data Protection Board Conditions: In the processing of special category personaldata, it is also mandatory to take adequate measures determined by the Board.
SECTION 4: PROTECTION OF PERSONAL DATA
4.1. SECURITY OF PERSONAL DATA
In accordance with Article 12 of the Personal Data Protection Law, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. takes all kinds of technical andadministrative measures according to technological possibilities and implementation costs toensure the lawful processing of personal data. Personal data learned by data controllers andprocessors cannot be disclosed to others in violation of this law and cannot be used forpurposes other than processing.
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. staff related totechnical issues have been trained; awareness among employees on this matter is being raised, and audits are conducted. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.’s relevant accounting and human resources department and contracted legal consultancyfirm work in coordination on this matter.
4.1.1. Measures Taken to Ensure Lawful Processing of Data
Main technical and administrative measures taken by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. to ensure the lawful processing of personal data:
Personal data processing activities within FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. are monitored through technical systems and reported to relevantindividuals.
Personal data processing activities carried out by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.’s business units are defined specifically for eachdepartment and related unit based on the requirements to comply with the conditions forpersonal data processing stipulated by Law No. 6698.
Ensuring compliance with the law and adherence to the procedures prepared for the relevantdepartments are implemented through administrative measures, company internal policies, and trainings.
4.1.2. Measures to Prevent Unlawful Access
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. takes technical andadministrative measures according to the nature of the data to be protected to prevent thecareless or unauthorized disclosure, access, transfer, or any other forms of unlawful access topersonal data. Main technical and administrative measures taken by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. to prevent unlawful access to personaldata:
Technical measures taken regarding access and authorization solutions are periodicallyreported, and issues posing risks are re-evaluated for necessary technological solutions. Software and hardware including logging, antivirus systems, and firewalls are installed.
Personnel knowledgeable in technical matters are employed.
Access and authorization processes for personal data within the company are designed andimplemented according to legal compliance requirements specific to the business unit.
Employees are informed that they cannot disclose personal data they learn to others in violation of the Personal Data Protection Law and other relevant legislation, nor can they useit for purposes other than processing. They are also informed that this obligation continuesafter they leave their positions, and the necessary commitments are obtained from them in thisregard.
Contracts concluded with individuals to whom personal data are lawfully transferred byFRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. include provisionsthat these individuals will take necessary security measures for the protection of personaldata, and/or mutual consent texts are signed.
4.1.3. Measures Taken for Storing Personal Data in Secure Environments
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. takes necessarytechnical and administrative measures to store personal data in secure environments and toprevent their unlawful destruction, loss, or alteration.
Main technical and administrative measures taken by our company for storing personal data in secure environments:
Systems compatible with technological advancements are used for storing personal data in secure environments.
Expert personnel in technical matters are employed.
Technical security systems for storage areas are established, technical measures taken arereported to the concerned, and necessary technological solutions are produced by re-evaluating issues posing risks.
Lawful backup programs are used to ensure the secure storage of personal data.
Non-digital data are kept in locked cabinets, accessible only by authorized individuals.
4.2. AUDIT
In accordance with paragraph 3 of Article 12 of the Personal Data Protection Law, the data controller is obliged to conduct or have conducted the necessary audits in their institution ororganization to ensure the implementation of the provisions of this law.
4.2.1. Audit of Measures to be Taken for the Protection of Personal Data
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. and our contractedlegal consultancy firm conduct and/or have conducted the necessary audits to establish data security described above and to ensure the regularity and continuity of the measures taken.
The results of these audits are reported to the relevant department or management within theinternal processes of our company, and activities necessary for the improvement of themeasures taken are carried out in accordance with the Personal Data Protection Law, otherlegislation, and this company policy.
4.2.2. Audit of Increasing Awareness of Business Units on the Protection and Processing of Personal Data
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. ensures theorganization of necessary trainings for business units to increase awareness aimed at preventing unlawful processing of personal data, unlawful access to data, and ensuring theprotection of data, through conducted trainings, seminars, and sessions. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. updates and renews its trainings in parallelwith the updates to the relevant legislation. Systems necessary for creating awareness on theprotection of personal data are established, and audits related to the matter are conducted byour company’s relevant department and contracted legal consultancy firm.
The results of the trainings conducted to increase awareness on the protection and processingof personal data are reported to our company, and participation in these trainings is mademandatory and monitored by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.
4.3. CONFIDENTIALITY
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. takes all necessarymeasures within its capabilities and according to the nature of the personal data to be protected to prevent the disclosure and transfer of personal data in violation of law and policyprovisions, unauthorized access to these data, and actions arising from other securitydeficiencies.
Necessary training has been provided to the personnel of FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. on this subject, and personnel knowledgeable in thisarea have been employed. The personal data processing activities of FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. are examined and audited in detail andperiodically. Necessary measures are taken in the activities of processing personal data as technology permits, and updating and improving these measures are essential. The relevantdepartment of FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. andour contracted legal consultancy firm work in a coordinated manner in conducting andauditing these activities.
4.4. UNAUTHORIZED DISCLOSURE OF PERSONAL DATA
The provisions of Articles 135 to 140 of the Turkish Penal Code No. 5237 and all relatedlegislation apply in the case of crimes related to unauthorized disclosure of personal data. Allprovisions of the relevant legislation are communicated by our company to employees andrelevant individuals. Real persons who unlawfully record personal data, unlawfully disclosepersonal data to another person, disseminate or seize them, do not destroy the data within thesystem despite the expiration of the periods determined by laws, and do not delete oranonymize personal data contrary to the provision of Article 7 of the Personal Data ProtectionLaw, despite the disappearance of reasons legitimizing the storage or processing of personaldata, are punished with imprisonment according to Article 138 of the Turkish Penal Code. The procedures and principles related to the deletion, destruction, or anonymization of personal data are regulated by regulation.
According to the amendments made to the Turkish Penal Code, a person who unlawfullydiscloses personal data to another person, unlawfully disseminates or seizes these data, is punished with imprisonment from two to four years. Moreover, a person who commits thiscrime by taking advantage of the convenience provided by a certain profession and art is punished as aggravated. A company employee who views, obtains data without the authorityto process personal data, or commits a “hack” crime will be reported immediately to thepersonal data owner, the prosecutor’s office, and relevant authorities, and necessaryproceedings will be conducted, and they will be punished as aggravated.
Administrative fines are applied to those who do not fulfill the obligation of enlightenment orobligations related to data security, do not comply with the decisions given by the Board, oract contrary to the registration and notification obligation to the Registry of Data Controllers, according to the provision regulated under the title of Misdemeanors in the Personal Data Protection Law.
SECTION 5: ORGANIZATIONAL MEASURES FOR THE PROTECTION OF PERSONAL DATA BY THE COMPANY
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. establishes a management structure to ensure the implementation of the Personal Data Protection andProcessing Policy.
A committee is established within FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. to manage this Policy and other policies related and linked to this Policy. Theduties of the committee to be established are stated below. Besides these duties, thecommittee also performs other tasks given by the senior management. The committee carriesout all its activities with the approval of senior management.
To prepare the fundamental policies related to the Protection and Processing of Personal Data and, if necessary, to make changes to these policies,
To decide how the implementation and monitoring of the policies related to the Protection andProcessing of Personal Data will be carried out,
To assign tasks within the company and ensure coordination,
To identify matters that need to be done to ensure compliance with the Personal Data Protection Law and related legislation and to ensure the implementation of these matters,
To create awareness within the Company and among the institutions with which the Companycooperates on the Protection and Processing of Personal Data, and to organize trainings in thiscontext,
To identify risks that may arise in the Company’s personal data processing activities and toensure that necessary measures are taken,
To resolve the applications of personal data owners at the highest level,
To follow developments and regulations in the protection of personal data and to takenecessary actions.
The contact person, the contracted legal consultancy firm, and the individuals to be communicated with the institution are the real persons notified by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. during the registration to the registry. Thereal person or persons to be notified are members of our department assigned to perform thistask within our company.
According to the Regulation on the Data Controllers’ Registry, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. has limited the function of the contactperson to act as a communication point, to ensure the rapid and effective response to therequests directed to the data controller by the relevant persons. This way, it is aimed torespond to the problems or questions of the data owners whose personal data are processed in the fastest and most explanatory way, but the contact officer is not legally authorized torepresent the data controller. Therefore, apart from providing information, the contact officerhas no duty or authority other than responding to the questions of the data owner or the personcommunicating with the contact officer in a lawful manner and informing our company aboutthis matter. Once informed by the contact officer, the relevant department or institutionappointed by our company will conduct the necessary procedures related to the issue as soonas possible and carry out the required procedure. During these procedures, the personal data owner or the relevant person will be informed about all these processes and procedures, and ifnecessary, meetings will be conducted with the personal data owner or relevant persons byour company’s authorized department or institution.
SECTION 6: THIRD PARTIES TO WHOM PERSONAL DATA IS TRANSFERRED AND THE PURPOSES OF TRANSFER
Our company, in accordance with Article 10 of the PDPL Law, notifies the personal data owner about the groups of persons to whom personal data is transferred.
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC., in accordance withArticles 8 and 9 of the PDPL Law and managed by the policy, can transfer the personal data of the data owners to the following categories of persons:
The Company’s;
(i) Business partners,
(ii) Suppliers,
(iii) Group companies,
(iv) Shareholders,
(v) Authorities,
(vi) Legally authorized public institutions and organizations,
(vii) Legally authorized private law persons
The scope of the persons mentioned above to whom the transfer is made and the purposes of data transfer are specified below.
Definition | Data Subject Category | Purpose of Data Transfer |
Group Companies | Companies | Transfer for the purpose of executing all kinds of commercial and organizational measures requiring the participation of the companies. |
Shareholders | Real persons who are shareholders of the company | Limited to the purposes of corporate law activities and corporate communication processes in accordance with the relevant legislative provisions. |
Company Officials | Board members and other authorized real persons | Transfer limited to designing strategies related to the company’s commercial activities, ensuring top-level management, and audit purposes in accordance with the relevant legislative provisions. |
Legally Authorized Public Institutions and Organizations | Public institutions and organizations authorized to request information and documents from the company according to the relevant legislative provisions | Transfer limited to the purposes requested by the relevant public institutions and organizations within their legal authority. |
Legally Authorized Private Law Persons Suppliers | Private law persons authorized to request information and documents from the company according to the relevant legislative provisions | These are parties that provide services to the company based on contracts according to the company’s orders and instructions while conducting the company’s commercial activities. Transfer is limited to the purposes requested by the relevant private law persons within their legal authority. The transfer ensures the provision of services necessary for the company to fulfill its commercial activities, obtained from the supplier. |
SECTION 7: DELETION OF PERSONAL DATA, RETENTION PERIODS, AND DATA INVENTORY
7.1. Obligation of FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.
In accordance with Article 7 of the Personal Data Protection Law No. 6698 and Article 138 of the Turkish Penal Code No. 5237, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. deletes, destroys, or anonymizes personal data that has been processed and thenwhose processing and storage purposes have ceased, based on the rights arising from theTurkish Commercial Code, all rights granted by the relevant legislation provisions, and theprinciples determined in this policy, either by decision it will make or at the explicit requestof the data subject, in a way that will not harm the commercial interests of our company.
7.2. Deletion, Destruction, or Anonymization of Personal Data
7.2.1. Deletion and Destruction of Personal Data
The deletion of personal data is defined in Article 8 of the regulation as “the process of making personal data completely inaccessible and unusable for the relevant users.”
The destruction of personal data is defined in Article 9 of the regulation as “the process of making personal data inaccessible, unrecoverable, and unusable by anyone in any way.”
7.2.2. Methods of Deleting Personal Data
a) Cloud Solutions as a Service Application Type
Data in the cloud system is deleted by issuing a deletion command. During this process, therelevant user does not have the authority to recover deleted data on the cloud system.
b) Personal Data in Paper Form
Personal data in paper form are deleted using the redaction method. The redaction methodinvolves making personal data on the relevant document invisible to the relevant users bycutting them out where possible, or using permanent ink in such a way that they cannot be reversed and cannot be read by technological solutions if cutting out is not possible.
c) Office Files Located on the Central Server
The deletion of a file via the delete command in the operating system or the removal of accessrights for the relevant user on the file or the directory where the file is located.
ç) Personal Data on Portable Media
Personal data stored on flash-based storage media are encrypted and deleted using appropriatesoftware for these media.
d) Databases
The deletion of the relevant rows containing personal data in databases through databasecommands. The person performing this operation is not the database administrator.
7.2.3. Methods of Destruction of Personal Data
a) Physical Destruction
Personal data, being part of any data recording system, can also be processed in non-automatic ways. In destroying such data, the method of physically destroying the personaldata in a way that it cannot be used afterwards is implemented.
b) Degaussing
The process of exposing magnetic media to a high magnetic field by passing it through a special device, rendering the data on it unreadable and indecipherable.
c) Paper Media
The destruction processes in this medium are the method of destroying papers by shreddingand cutting machines into indecipherable sizes.
7.2.4. Anonymization of Personal Data
The anonymization of personal data is defined in Article 10 of the regulation as “makingpersonal data unable to be associated with an identified or identifiable natural person underany circumstances, even if matched with other data.”
7.2.4.1. Methods of Anonymizing Personal Data
a) Masking
A method of anonymization achieved by removing or deleting distinct attributes orcharacteristics of the data subjects.
Example: Preventing the identification of the data subject by removing information such as the Turkish Identification Number that facilitates the identification of the Personal Data Owner.
b) Data Shuffling (Permutation)
This method aims to anonymize data by changing the location of some of the information of data subjects within the system.
Example: Ensuring that the Personal Data Owner is not recognized by swapping lesssignificant information alongside data considered as the main category in employeeinformation.
c) Data Derivation Method
This method involves making modifications such as additions or subtractions to variables in the data within the system to an extent that the information becomes unidentifiable orundetectable.
Example: Instead of detailing the personal data owner’s residence, mentioning theneighborhood or district they live in.
d) Aggregation Method
This method involves converting the specific personal data to a more general value. With thisapproach, data are generalized, making personal data unassociated with any individual.
Example: Instead of listing the neighborhoods where employees live individually, stating thata certain number of employees live in neighborhood X.
7.2.4.2. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.’s MethodSelection Procedure for Anonymization
One or several of the anonymization methods described above will be selected by a committee formed by the company to ensure the enforcement of this policy, in line with allrelevant legislation and the interests of FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. in its business life. Detailed information about the committee has beenprovided in a previous section.
The method of anonymization to be selected will be determined by the committee, taking intoaccount the following factors:
The nature of the data
The size of the data
The structure of the physical presence of the data
The diversity of the data
The purpose of data processing
The anonymization process will be carried out in parallel with the principles stated in thestorage durations and personal data inventory sections of this policy.
7.3. STORAGE PERIODS
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. stores personal data in accordance with the durations specified in all relevant legislation.
In cases where no specific duration is set in the relevant legislation, the company storespersonal data for periods determined in accordance with customs arising from the sectorFRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. operates in, and in compliance with laws and regulations, aligning with the interests of the company. Upon nolonger being necessary, personal data are deleted, destroyed, or anonymized as describedabove.
If the purpose for processing and storing personal data has ceased, and the periods defined byall relevant legislation and by our company in this policy have elapsed, personal data can stillbe stored for use in potential legal disputes in the future. Personal data mentioned in thissection are stored solely for use in legal disputes and cannot be used for any other purpose. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. takes all foreseeableprecautions and measures in line with the above statements.
For example, using information in the data system to determine the residence area of an employee for determining the competent court in a lawsuit arising from wrongful terminationof the contract against an employee who has left the workplace can be considered within thisscope. (The scope of the above statements is not limited to the given example.)
7.4. PERSONAL DATA INVENTORY
In compliance with the Personal Data Protection Law (KVKK) and the Regulation on Data Controllers’ Registry, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. maintains an inventory of data processed separately in every department, where deletion, destruction, and anonymization processes are carried out in accordance with legislation andcompany policy and can be presented to the Personal Data Protection Authority whenrequired.
The inventory must include, according to the regulation:
i. Purposes of personal data processing
ii. Data category
iii. The maximum period necessary for the processing of personal data, related to the group of data recipients and the group of subjects
iv. Predicted periods for transferring to foreign countries
v. Measures taken for data security
Based on the criteria mentioned above, information related to personal data and the processesto be performed with this data will be collected in the relevant inventory. The inventorycontent can be stored in digital formats such as Word and Excel, in line with the company’sinterests and compliance with laws and regulations, and on paper if digital storage is not possible.
The deletion, destruction, and anonymization processes described in Section 6 are carried outin the personal data inventory by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. or an official authorized by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.
7.4.1. Preparation of the Personal Data Inventory
If there are relevant provisions in the legislation regarding the procedure for preparing thePersonal Data Inventory, it will be prepared by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. according to these provisions. In the absence of suchprovisions, the company is free to choose the method for preparing the personal data inventory, considering its internal discipline and work processes.
SECTION 8: RIGHTS OF THE DATA SUBJECT AND RULES FOR THE EXERCISE OF THESE RIGHTS
8.1. RIGHTS OF THE PERSONAL DATA OWNER
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. operates necessarychannels, internal mechanisms, and administrative and technical regulations to evaluate therights of personal data owners and provide them with the necessary information, in accordance with Article 13 of the Personal Data Protection Law.
Personal data owners can submit their requests regarding their rights in writing to ourcompany, which will conclude the request within thirty days at no cost, depending on thenature of the request. However, if the Personal Data Protection Board specifies a;
The right to know if personal data is being processed,
If personal data has been processed, the right to request information about this,
The right to learn the purpose of the processing of personal data and whether they are used in accordance with their purpose,
The right to know the third parties to whom personal data is transferred, domestically orabroad,
In case personal data is processed incompletely or inaccurately, the right to request theircorrection and to request notification of the operation carried out in this context to the thirdparties to whom personal data has been transferred,
Even if personal data is processed in accordance with the provisions of the Law on Protectionof Personal Data and other relevant laws, the right to request the deletion or destruction of personal data in case the reasons necessitating their processing cease to exist, and to requestnotification of the operation carried out in this context to the third parties to whom personaldata has been transferred,
The right to object to the emergence of a result against the person himself through the analysisof the processed data exclusively by automated systems,
The right to demand compensation for the damage in case of loss due to the unlawfulprocessing of personal data.
Pursuant to Article 13 of the Law on the Protection of Personal Data, personal data ownerscan submit their requests related to the exercise of the aforementioned rights by filling out thePersonal Data Protection Law Application Form available on our company’s website andsubmitting it to our company by the methods specified below.
Personal Data Processing and Protection Policy Application Methods
METHOD | ADDRESS |
| |
Submit the application to our Company in writing (personal data owner to apply in person with an identity verification document or through a notary) | MÜSKEBİ MAH. 2721 CAD. NO:16/1 BODRUM MUĞLA |
Send the application to our registered electronic mail address (KEP) | framebod@hso1.kep.tr |
Send the application using the email address previously provided to the Company by the personal data owner and registered in our system | info@insperabodrum.com |
Send the application to our Company through secure electronic signature or mobile signature |
|
8.1.1. Right to Access Personal Data
Individuals have the right to access their personal data without being subjected to a fee. The company’s interest and legitimate right to hold data are protected under the Personal Data Protection Law and related legislation; the rights to amend and delete are observed. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. informs the concerned individual that they have the right to:
Learn whether their personal data is processed,
Request information if their personal data has been processed,
Learn the purpose of their personal data processing and whether it is used in accordance with its purpose,
Request to know the third parties to whom their personal data is transferred, both domestically and internationally.
8.1.2. Right to Amend or Delete Personal Data
Individuals have the right to amend or delete their personal data without being subjected to a fee. In this context, the concerned individual has the right to:
Request correction if their personal data is processed incompletely or inaccurately,
Request the deletion or destruction of their personal data if the reasons necessitating their processing cease to exist,
Request that the operations of correction, deletion, or destruction are notified to the third parties to whom the personal data has been transferred, and
Object to any adverse result stemming from the analysis of the processed data exclusively by automated systems.
8.1.3. Ensuring the Accuracy of Personal Data
Under the Personal Data Protection Law, there is an obligation to ensure that personal data are accurate and up-to-date when necessary; therefore, it is necessary for the concerned party to notify the company of any changes in their current situation regarding keeping personal data accurate and up-to-date. If the data change is not reported in writing to FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. by the concerned individual, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. is not liable for any damage or sanctions that may arise or could arise due to the data not being updated.
8.2. Ensuring the Rights of the Data Subject
According to Article 12 of the Personal Data Protection Law, the data controller is required to:
Prevent unlawful processing of personal data,
Prevent unlawful access to personal data, and
Ensure the protection of personal data, by taking all necessary technical and administrative measures to maintain an appropriate level of security.
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. is jointly and severally responsible with those persons for taking the measures mentioned in the first paragraph when personal data is processed on its behalf by another real or legal person, in accordance with the relevant article of the law. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. conducts the necessary inspections to ensure the implementation of the provisions of this law within its institution or organization.
This provision has been added to all contracts, commitments, and consensus texts by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. and shared with people who can transfer data according to Section 5 of this policy; in cases where it is not possible to create a contract or consensus text due to factual impossibility or because it does not conform to the normal course of life, this policy has been made publicly available on the website www.insperabodrum.com, where it can be viewed by interested parties.
8.3. Cases Where the Personal Data Owner Cannot Assert Their Rights
Personal data owners, according to Article 28 of the Personal Data Protection Law, cannot assert the rights listed below in the following cases since these cases are excluded from the scope of the relevant law:
Processing of personal data for purposes such as research, planning, and statistics by anonymizing them with official statistics,
Processing of personal data without infringing national defense, national security, public safety, public order, economic security, privacy of private life, or personal rights, or without constituting a crime, for purposes such as art, history, literature, or science, or within the scope of freedom of expression,
Processing of personal data within the scope of preventive, protective, and intelligence activities carried out by public institutions and organizations assigned and authorized by law to ensure national defense, national security, public safety, public order, or economic security, and
Processing of personal data by judicial authorities or execution bodies in relation to investigation, prosecution, judicial, or execution processes.
Under Article 28 of the Personal Data Protection Law; in the cases listed below, personal data owners cannot assert their rights, except the right to request compensation for damages:
If the processing of personal data is necessary for the prevention of crime or crime investigation,
Processing of personal data made public by the personal data owner,
Processing of personal data necessary for carrying out supervision or regulatory duties and disciplinary investigation or prosecution by authorized and competent public institutions and organizations or public professional organizations, based on the authority given by the law.
SECTION 9: PERSONAL DATA PROCESSING ACTIVITIES WITHIN FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. PREMISES AND THROUGH THE WEBSITE
BUILDING AND FACILITY ENTRANCES AND PERSONAL DATA PROCESSING ACTIVITIES WITHIN THE BUILDING AND FACILITIES
Personal data processing activities at the entrances of buildings and facilities and within the premises by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. are conducted in compliance with the Constitution, Personal Data Protection Law (PDPL), and other relevant legislation.
To ensure security, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. conducts personal data processing activities through surveillance with security cameras and monitoring guest entries and exits in its buildings and facilities. The company carries out personal data processing activities by using security cameras and recording guest entries and exits.
SURVEILLANCE ACTIVITIES WITH CAMERAS AT THE ENTRANCES AND INSIDE THE BUILDINGS AND FACILITIES BELONGING TO FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.
This section will provide explanations related to the surveillance system with cameras by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. and inform about how the privacy of personal data and the fundamental rights of individuals are protected. The surveillance activity with security cameras aims to protect the interests related to ensuring the security of the company and other individuals.
Legal Basis for Surveillance Activities with Cameras
The surveillance activity with cameras is conducted by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC.
Conducting Surveillance Activities with Security Cameras According to PDPL
The surveillance activity with cameras for security purposes by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. is conducted in accordance with the regulations in the PDPL. FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC., for the purpose of ensuring security in its buildings and facilities, conducts surveillance activities with security cameras in accordance with the purposes provided in the relevant legislation in force and the conditions for processing personal data listed in the PDPL.
Announcement of the Surveillance Activity with Cameras
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. informs the personal data owner in accordance with Article 10 of the PDPL. It notifies about the surveillance activity through multiple methods related to general matters. The aim is to prevent harm to the fundamental rights and freedoms of the personal data owner, ensuring transparency and informed consent.
Regarding the surveillance activity, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. publishes this Policy on its website (online policy regulation) and places notification signs at the entrances of the monitored areas (on-site enlightenment).
Purpose and Limitation of Surveillance Activity
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. processes personal data in a connected, limited, and measured manner in accordance with Article 4 of the PDPL. The purpose of the video surveillance activity is limited to the purposes listed in this policy. Accordingly, the areas, number, and timing of surveillance by security cameras are implemented sufficiently and limited to achieving the security objective. Areas that could infringe on a person’s privacy beyond security purposes (e.g., bathrooms) are not subject to surveillance.
Security of Obtained Data
In line with Article 12 of the PDPL, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. takes necessary technical and administrative measures to ensure the security of personal data obtained from surveillance activities.
Retention Period of Personal Data Obtained Through Surveillance Activity
Detailed information regarding the retention period of personal data obtained through surveillance activity is provided in Section 7.3 of this Policy, named Retention Periods of Personal Data.
Access to and Transfer of Information Obtained from Surveillance
Only a limited number of FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. employees have access to live camera images and digitally recorded and stored records. Those with access are required to sign confidentiality agreements to maintain the privacy of accessed data.
Monitoring of Guest Entries and Exits in Company Buildings and Facilities
To ensure security and for the purposes stated in this Policy, FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. processes personal data related to the monitoring of guest entries and exits in company buildings and facilities. Names and surnames of individuals coming as guests to FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. buildings are obtained, and these personal data owners are informed through texts placed or made available to guests by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. Data obtained for the purpose of tracking guest entries and exits are processed only for this purpose, and relevant personal data are recorded in a physical data recording system.
Records of Internet Access Provided to the Company’s Guests and Website Visitors
Internet Access Records for the Company’s Guests
FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. does not record log records related to internet accesses of guests staying within our facilities, in accordance withLaw No. 5651 and the regulations issued pursuant to this law, for the purposes of ensuringsecurity and as stated in this Policy.
Company’s Website Visitors
On the websites owned by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC., the movements of visitors to these sites are not recorded.
SECTION 10: ENFORCEMENT AND UPDATING
This policy has been enacted by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. Updates can be made to all or part of the Policy. This policy is published on theinternet site owned by FRAME BODRUM BUSINESS MANAGEMENT AND TRADE INC. (www.insperabodrum.com) and is made available to the relevant individuals uponrequest by the personal data owners.
APPENDIX 1: PURPOSES OF PERSONAL DATA
DEFINITIONS
PDPL Article 7
Turkish Penal Code (TPC) Article 138
Regulation: Regulation on the Deletion, Destruction, or Anonymization of Personal Data published in the Official Gazette on Saturday, 28 October 2017, numbered 30224.
ARTICLE 12- (1) The data controller is obligated to: a) Prevent unlawful processing of personal data, b) Prevent unlawful access to personal data, c) Ensure the protection of personal data, by taking all necessary technical and administrative measures to ensure an appropriate level of security.
(3) The data controller must conduct or have conducted the necessary audits within itsinstitution or organization to ensure the implementation of the provisions of this Law.
ARTICLE 7- Despite being processed in accordance with this Law and other relevant legal provisions, personal data shall be deleted, destroyed, or anonymized by the data controller, either ex officio or upon the request of the concerned person, when the reasons necessitatingtheir processing cease to exist. Provisions in other laws related to the deletion, destruction, oranonymization of personal data are reserved.
ARTICLE 10- (1)-c) The personal data processed can be transferred to whom and for whatpurposes,
ARTICLE 13- The related person can submit their requests related to the implementation of this Law to the data controller in writing or by other methods determined by the Board. Thedata controller concludes the requests included in the application as soon as possible andwithin thirty days at the latest, free of charge. However, if the procedure requires an additional cost, a fee determined by the tariff set by the Board may be charged. The data controller accepts the request, explains the reason for rejection, and notifies the related personin writing or via electronic means. If the request in the application is accepted, the data controller fulfills the necessary action. If the application is due to the data controller’s mistake, the fee taken is refunded to the related person.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
BÖLÜM 1: GİRİŞ
1.1.GİRİŞ
Kişisel Verilerin Korunması Kanunu ile verileri işlenen kişilerin verilerinin korunması
konusu her şirket açısından temel bir zaruret haline gelmiştir. Bu sebeple özellikle
kişilerin özel hayatına ve bilgilerine erişim hususunda azami ihtimam göstermek ve bu
konuda etkili ve caydırıcı önlemler almak ek olarak bütün bu işlemler esnasında
müşterilerimize, potansiyel müşterilerimize, ziyaretçilerimize, şirket yetkililerimize,
işbirliği içinde olduğumuz taraf ve kurumların tamamına kısaca şirketimizle doğrudan
veya dolaylı olarak bağlantılı olan verilerini işlediğimiz her bir kişiye şeffaf olmak şirket
veri politikamızın temel hedefini oluşturmaktadır.
Şirketimiz işbu Politika ile kişisel verilerin işlenmesine yönelik kurallarımızı şeffaflık ve
açıklık ilkeleri çerçevesinde belirlemekte ve hayata geçirmektedir.
1.2. POLİTİKANIN AMACI VE KAPSAMI
Bu politikanın temel amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere verileri işlenmiş olan kişilerin temel hak ve özgürlüklerini korumak ve bu anlamda şirketimizin yaptığı her faaliyetin kamunun aydınlatılması yoluyla şeffaflığının sağlanmasıdır.
Bu politika hükümlerinin kapsamı doğrudan veya dolaylı olarak verilerini işlediğimiz kişilerin bütün kişisel verileridir.
1.3. MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.
BÖLÜM 2: TANIMLAR VE KISALTMALAR
Bu Politika’nın uygulanmasında kullanılan terimler aşağıda yer verilen anlamları ifade ederler:
Çalışanlar: Şirketimizin çalışanlarını ifade eder.
İrtibat Kişisi: Şirketimiz bünyesindeki kişisel veri işleme faaliyetlerini, KVK Politika ve prosedürlerinin uygulanmasını bireysel bazda takip etmekle sorumlu kişidir. Veri sorumluları sicili nezdinde KVK Mevzuatı kapsamında Şirketimizin irtibat kişisi olarak hareket eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Örneğin; ad, soyad, adres, telefon numarası, doğum tarihi, doğum yeri, göz rengi, T.C. kimlik numarası.
Kişisel Veri Sahibi veya İlgili Kişi: Kişisel verisi işlenen gerçek kişidir. Örneğin; çalışan, ziyaretçi.
Kişisel Verilerin İşlenmesi:Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin; elde etmek, kaydetmek, depolamak, değiştirmek, aktarmak.
KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu ifade eder. KVK Kurumu’nun karar organıdır.
KVK Kurumu: KVK Kanunu ile kurulmuş olan Kişisel Verileri Koruma Kurumu’nu ifade eder.
KVK Mevzuatı: 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere kişisel verilerin korunmasına ilişkin yasal düzenlemeleri ve KVK Kurulu kararlarını ifade eder.
KVK Politika ve Prosedürleri:Kişisel Verilerin Korunması ve İşlenmesi Politikası ile kişisel verilerin korunması ve işlenmesine ilişkin Şirketimizin diğer politika ve prosedürleri ile bunların atıfta bulunduğu ve Şirketimiz tarafından hazırlanmış muhtelif belgeleri ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Örneğin; belgeleri klasörler veya dosyalar halinde arşivlemek.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Aksi belirtilmediği müddetçe bu Politika kapsamındaki işleme faaliyetleri bakımından veri sorumlusu, Şirketimizdir ve şirketimiz markalarıdır (İnspera).
BÖLÜM 3: KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
3.1.1 Hukuka ve Dürüstlük Kurallarına Uygun Olması
Kişilerin verileri işlenirken işlenme sürecinde veriler hukuka ve dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, verileri işlerken hukuka ve dürüstlük kurallarına uygun bir şekilde azami hassasiyet ve kontrol ile verileri işlemektedir.
3.1.2 Doğru ve Gerektiğinde Güncel Olması
İşlenen verilerin doğru olması ve şahısların verileri hakkında güncellik gerektiğinde güncel olması gerekmektedir. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ işlenen verilerin doğruluğunu her işleme seviyesinde kontrol etmekte ve gerektiğinde güncel olması için gerekli hazırlıkları yapmaktadır.
3.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Verilerin işlenmesi esnasında hangi verilerin işlendiği belli ne kadarlık bir kısmının işlendiği açık ve ne amaçla işlendiği belli, hukuka uygun yani meşru olmalıdır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ sadece meşru amaçlar için verileri işlemekte bu işleme sırasında elde edilecek olan verilerin belirli olmasına özen göstermektedir. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ elde edilen bilgilerin farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi adına net, açık bir şekilde verileri işlemektedir.
3.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Verilerin işlenme amacına sadık, amaçla bağlantılı o amaçla sınırlı ve ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ veri işlerken yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere ölçülü bir şekilde veri sahiplerinin verilerini işlemektedir.
3.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
İşlenen kişisel veriler ilgili mevzuattaki süreye veya ilgili amaçta belirtilen süreye uygun olarak azami koruma kastıyla hareket edilmesi gerekir. Bu kapsamda, FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel verileri muhafaza etmektedir. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Böylece veri sahiplerinin güvenlikleri azami seviyede sağlanmaktadır.
3.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
3.2.1 Kişisel verilerin işlenme şartları
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ veri sahiplerinin verilerini kanuna ve hukuka uygun bir biçimde aşağıda yer alan ilgili mevzuatın şartlarına uygun bir biçimde işlemektedir.
Genel Kişisel Verilerin İşlenme Şartları
Genel Nitelikli Veri Kavramı: Bu bölümde belirtilen özel nitelikli veri kategorisine girmeyen FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından işlenen her türlü kişisel veri kavramı genel nitelikli kişisel veri kategorisini oluşturmaktadır.
Genel Şart: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
İstisnalar: Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
Özel nitelikli kişisel verilerin işlenme şartları
Özel Nitelikli Veri Kavramı: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Genel Şart: Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
İstisnalar ve Özel Durumlar: Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Kişisel Verileri Koruma Kurumu Kurulu Şartları: Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
BÖLÜM 4: KİŞİSEL VERİLERİN KORUNMASI
4.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ Kişisel Verilerin Korunması Kanunu’nun 12. maddesi gereğince, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre her türlü teknik ve idari tedbirler alınmaktadır. Veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel veriler, bu kanun hükümlerine aykırı olarak başkalarına açıklanamaz ve işleme amacı dışında kullanılamaz.
Teknik konularla ilgili FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ personeline gerekli eğitim verilmiştir; bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’nin ilgili muhasebe ve insan kaynakları departmanı ve anlaşmalı hukuki danışmanlık firması bu konuda koordine halinde çalışmaktadır.
4.1.1. Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik ve idari tedbirler:
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliğine göre teknik ve idari tedbirler almaktadır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik ve idari tedbirler:
Şirketimizce kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik ve idari tedbirler:
Kişisel Verileri Koruma Kanunu’nun 12. maddesinin 3. fıkrası gereğince veri sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
4.2.1.Kişisel Verilerin Korunmasında Alınacak Tedbirlerin Denetimi
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ ve anlaşmalı hukuki danışmanlık şirketimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve/veya yaptırır.
Bu denetim sonuçları şirketimizin iç işleyişi kapsamında konu ile ilgili departman veya yönetime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler Kişisel Verileri Koruma Kanunu ve sair mevzuat ve işbu şirket politikasına uygun şekilde yürütülmektedir.
4.2.2. İş Birimlerinin Kişisel Verilerinin Korunması ve İşlenmesi Konusunda Farkındalıklarının Artırılmasının Denetimi
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin korunmasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini yürütülen eğitimler, seminerler ve oturumlar aracılığı ile sağlamaktadır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir. Kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemler kurulmakta, konuya ilişkin denetimleri şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz yapmaktadır.
Kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları şirketimize raporlanmakta olup söz konusu eğitimlere katılım FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından zorunlu tutulmakta ve kontrol edilmektedir.
4.3. GİZLİLİK
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ kişisel verilerin kanun ve politika hükümlerine aykırı olacak şekilde açıklanmaları ve aktarımını, bu verilere erişimin sağlanmasını ve meydana gelebilecek diğer güvenlik eksikliklerinden kaynaklanan işlemleri önlemek adına, imkanlar dahilinde ve korunacak kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ personeline bu konuda gerekli eğitimler verilmiş ve bu konuda bilgi sahibi personel istihdamı sağlanmıştır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından kişisel veri işleme faaliyetleri ise detaylı şekilde ve periyodik olarak incelenmekte ve denetlenmektedir. Teknolojinin imkan verdiği takdirde kişisel verilerin işlenmesi faaliyetlerinde gerekli önlemler alınır ve alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’nin ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz bu faaliyetleri yürütülmesinde ve denetlenmesinde koordine edilmiş şekilde çalışmaktadır.
4.4. KİŞİSEL VERİLERİN YETKİSİZ İFŞASI
Kişisel verilerin yetkisiz ifşasına ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun135 ila 140. madde hükümleri ve ilgili bütün mevzuat uygulanır. İlgili bütün mevzuatın hükümleri şirketimizce çalışanlara ve ilgili kişilere bildirir. Hukuka aykırı olarak kişisel verileri kaydetme, kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeme ve Kişisel Verileri Koruma Kanunun 7. maddesi³ hükmüne aykırı olarak; kişisel verilerin saklanmasını veya işlenmesini meşru kılan sebeplerin ortadan kalkmasına rağmen kişisel verileri silmeyen veya anonim hâle getirmeyen gerçek kişiler Türk Ceza Kanununun 138. maddesine göre hapis cezası ile cezalandırılır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Türk Ceza Kanunu’nda yapılan düzenlemelere göre kişisel verileri hukuka aykırı olarak bir başkasına veren, bu verileri hukuka aykırı olarak yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılmakla birlikte belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle bu suçu işleyen kişi cezanın nitelikli halinden cezalandırılır. Kişisel veriyi işleme yetkisi olmadan verileri görüntüleme, elde etme veya “hack” suçunu işleyen şirket çalışanı, gecikmeksizin kişisel veri sahibine, savcılık ve ilgili makamlara bildirilecek ve hakkında gerekli işlemler yürütülecek ve suçun nitelikli halinden cezalandırılacaktır.
Kişisel Verileri Koruma Kanunu’nda Kabahatler başlığı altında düzenlenen hüküm gereğince aydınlatma yükümlülüğünü veya veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurul tarafından verilen kararları yerine getirmeyenler veya Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında da idari para cezaları uygulanır.
BÖLÜM 5: ŞİRKET KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK ORGANİZASYONEL TEDBİRLER
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ Kişisel Verilerin Korunması ile İşlenmesi Politikası’nın yürürlüğünü sağlamak için bir yönetim yapısı oluşturmaktadır.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere komite kurulmaktadır. Kurulacak komitenin görevleri aşağıda belirtilmektedir. Komite, bu görevlerin dışında üst yönetimin vereceğidiğer görevleri de yerine getirir. Komite tüm faaliyetlerini üst yönetimin onayı ile gerçekleştirmektedir.
İrtibat kişisi, anlaşmalı hukuki danışmanlık şirketi ve kurum ile kurulacak iletişim için FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından sicile kayıt esnasında bildirilen gerçek kişilerdir. Bu bildirilecek gerçek kişi veya kişiler şirketimiz bünyesinde bu işi yapmakla görevlendirilmiş departmanımız üyelerindendir.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ Veri Sorumluları Sicili Yönetmeliğine göre irtibat kişisinin fonksiyonunu iletişim noktası olarak, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamak olarak sınırlandırmıştır. Bu yolla kişisel verileri işlenen veri sahiplerinin sorunlarına veya sorularına en hızlı ve açıklayıcı bir biçimde cevap verilmesi amaçlanmıştır fakat irtibat görevlisi hukuki açıdanveri sorumlusunu temsile yetkili değildir. Bu sebeple bilgi vermek haricinde, şirket ile veri sahibinin veya irtibat sorumlusu ile iletişime geçen ilgilinin sorularını hukuka uygun bir biçimdecevaplamak ve şirketimizi bu hususta bilgilendirmek haricinde bir görevi veya yetkisi bulunmamaktadır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ irtibat sorumlusu tarafından bilgilendirildiği anda yine şirketimiz tarafından görevlendirilmiş yetkili departman veya kurum tarafından en kısa sürede sorunla ilgili işlemler yapılacak ve gereken prosedür yürütülecektir. Bu işlemler sırasında kişisel veri sahibi veya ilgili kişi bütün bu işlemlerve prosedürler ile ilgili bilgilendirilecek ve gerekirse şirketimiz yetkili departmanı veya kurumu tarafından kişisel veri sahibi veya ilgili kişilerle görüşmeler yürütülecektir.
BÖLÜM 6: KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz, KVK Kanunu’nun 10. maddesine4 uygun olarak kişisel verilerin aktarıldığı kişigruplarını kişisel veri sahibine bildirmektedir.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıdasıralanan kişi kategorilerine aktarılabilir:
Şirketin;
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıdabelirtilmektedir.
| Tanımı | Veri Aktarım Amacı |
Topluluk Şirketleri | Şirketleri | Şirketlerinin katılımını gerektiren her türlü ticari ve organizasyonel tedbirlerinin yürütülmesini sağlamak amacıyla aktarım yapılmaktadır |
Hissedarlar | Şirketin hissedarı olan gerçekkişiler, | İlgili mevzuat hükümlerine göre şirketlerhukuku, etkinlik yönetimi ve kurumsaliletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlıdır. |
Şirket Yetkilileri | Şirket yönetim kurulu | İlgili mevzuat hükümlerine göre şirketinticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetimininsağlanması ve denetim amaçlarıyla sınırlı olarak aktarım yapılmaktadır |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre şirketten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları, | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak aktarım yapılmaktadır. |
Hukuken Yetkili Özel Hukuk KişileriTedarikçiler | İlgili mevzuat hükümlerine göre şirketten bilgi ve belge almaya yetkili özel hukuk kişileri, Şirketin ticari faaliyetlerini yürütürken şirket emir ve talimatlarına uygun olarak sözleşme temelli olarak şirketehizmet sunan taraflardır. | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak aktarım yapılmaktadır. Şirket’in tedarikçiden temin ettiği ve şirketinticari faaliyetlerini yerine getirmek içingerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak aktarım yapılmasıdır. |
BÖLÜM 7: KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ ve VERİ ENVANTERİ
7.1. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’nin Yükümlülüğü
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 7 ve 5237 sayılı Türk Ceza Kanunu madde 138’deki açıklamalara uygun olarak işlenmiş, akabinde işleme ve saklama amacı ortadan kalkmış kişisel verileri Türk Ticaret Kanunu’ndan kaynaklanan haklara, ilgili bütün mevzuat hükümlerinin vermiş olduğu haklara ve işbu politikada belirlenen esaslara istinaden vereceği karar ile veya şirketimizin ticari hayatındaki menfaatlerini zarar getirmeyecek şekilde veri sahibinin açık talebiyle, Kişisel Verilerin Korunması Kanunu madde 7 de belirtildiği gibi siler veya yok eder veya anonimleştirilir.
7.2.Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale getirilmesi
7.2.1.Kişisel Verilerin Silinmesi ve Yok Edilmesi
Kişisel verilerin silinmesi, yönetmeliğin 8.maddesinde ‘’kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
Kişisel verilerin yok edilmesi, yönetmeliğin 9.maddesinde ‘’kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
7.2.2.Kişisel Verilerin Silinme Yöntemleri
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri
Bulut sistemindeki veriler silme komutu verilerek silinir. Anılan işlem gerçekleşirken ilgili kullanıcı bulut sistemi üzerinde silinmiş verileri geri getirme yetkisine sahip değildir.
b) Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma yöntemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülmeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcıların görünemez hale getirilmesi şeklinde yapılır.
c) Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılmasıdır.
ç) Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir
d) Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinir. Anılan işlemi gerçekleştiren ilgili kişi veri tabanı yöneticisi değildir.
7.2.3.Kişisel Verilerin Yok Edilmesi Yöntemleri
a)Fiziksel Olarak Yok Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılmayacak biçimde fiziksel olarak yok edilmesi uygulanmaktadır.
b)De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin anlaşılamaz ve okunamaz bir hale getirilme işlemidir.
c)Kağıt Ortamları
Bu ortamdaki yok etme işlemleri kağıtların imha ve kırpma makineleri ile anlaşılmaz boyutlara getirilerek yok edilmesi yöntemidir.
7.2.4.Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, yönetmeliğin 10.maddesinde ‘’kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. ’’şeklinde tanımlanmıştır.
7.2.4.1.Kişisel Verilerin Anonim Hale Getirilme Yöntemleri
a)Maskeleme Yöntemi (Masking)
Verileri işlenen veri sahiplerinin belirgin sıfatlarının veya özelliklerinin çıkarılarak veya silinerek sağlanan bir anonim hale getirme yöntemidir.
Örnek: Kişisel Veri Sahibinin tanımlanmasını sağlayan TC Kimlik No vb. gibi bilginin çıkartılması yoluyla veri sahibinin tanınmasının engellenmesi.
b)Veri Karma Yöntemi (Data Shuffling,Permutation)
Bu yöntemle sistem içerisinde verileri olan veri sahiplerinin bilgilerinin bir kısmının yerini değiştirerek verileri anonim hale getirmek amaçlanmaktadır.
Örnek: Çalışan bilgilerinde ana kategori olarak değerlendirilen verilerin yanında alt değerli bilgilerin yer değiştirilmesi suretiyle Kişisel Veri Sahibinin tanınmamasını sağlama.
c) Veri Türetme Yöntemi (Data Derivation)
Sistemde içerisinde yer alan verilerde bulunan değişkenlerde belli ölçülerde ekleme veya çıkarma yapılarak bilgilerin tespit edilemeyecek veya tanımlanamayacak hale gelmesi sağlanır.
Örnek: Verisi işlenen kişisel veri sahibinin ikametgahının detaylı açıklanmasının yerine yaşadığı mahalle veya ilçenin belirtilmesi.
d)Toplulaştırma Yöntemi (Aggregation)
İlgili kişisel veriyi özel bir değerden genel bir değere çevirme yöntemidir. Bu yöntemle veriler genelleştirilmekte ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Örnek: Çalışanların yaşadığı mahallelerin tek tek sayılması yerine X mahallesinde Y kadar çalışanın yaşadığının belirtilmesi.
7.2.4.2. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’nin Anonim Hale Getirme Yöntemini Seçme Usulü
Yukarıda açıklanan anonimleştirme yöntemlerinden bir veya birkaçı, ilgili bütün mevzuat veFRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’nin iş hayatındaki menfaatleri doğrultusunda, şirket tarafından işbu politikanın yürürlüğünü sağlamak için oluşturulan komite tarafından seçilecektir. Komite ile ilgili ayrıntılı bilgiler daha önceki bölümde açıklanmıştır.
Seçilecek anonim hale getirme yöntemi, komite tarafından aşağıda sayılan hususlar dikkate alınarak belirlenecektir:
Anonim Hale Getirme işlemi işbu politikanın saklama süreleri ve kişisel veri envanteri bölümlerinde belirtilen esaslara paralel olarak gerçekleştirecektir.
7.3. SAKLAMA SÜRELERİ
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ ile ilgili bütün mevzuatta belirlenen sürelere uygun olarak, veri envanterinde kişisel verileri saklamaktadır.
Bu süreleri ilişkin ilgili mevzuatta belirlenen herhangi bir sürenin bulunmaması durumunda FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ bulunduğu sektörden kaynaklanan teamüller ve kanun ve mevzuata uygun olmak şartıyla şirketimizin menfaatlerine uygun olarak belirlediği süreler içerisinde kişisel verileri saklamaktadır, saklama işlemine gerek kalmadığı durumlarda yukarıda açıklanan şekillerde silinir veya yok edilir veya anonimleştirilir.
Kişisel verilerin işleme ve saklama amacı ortadan kalkmış ve kişisel verilere ilişkin ilgili bütün mevzuatta ve şirketimiz tarafından işbu politikada belirlenen esaslara istinaden belirlenen süreler geçmiş ise ileride doğabilecek her türlü hukuki uyuşmazlıklarda kullanılmak amacıyla da kişisel veriler saklanabilmektedir. Bu kısımda belirtilen kişisel veriler sadece hukuki uyuşmazlıklarda kullanılmak üzere saklanır ve başka herhangi bir amaç için kullanılamaz. Yukarıdaki açıklamalar doğrultusunda FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafındanöngörülebilecek bütün önlem ve tedbirler alınmaktadır.
Örneğin, İşyerinden ayrılan çalışan aleyhine, sözleşmenin haksız feshedilmesinden kaynaklı açılacak davada yetkili mahkemenin belirlenmesi amacıyla çalışanın yerleşim bölgesinin tespitinin yapılması için veri sisteminde bulunan bilgilerin kullanılması bu kapsamda değerlendirilebilir. (Yukarıdaki açıklamaların kapsamı verilen örnek ile sınırlı değildir.)
7.4.KİŞİSEL VERİ ENVANTERİ
KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik’e uygun olarak FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ bünyesinde bulunan her departmanda ayrı ayrı işlenen verilerin toplandığı ve yukarıda açıklandığı şekillerde silme, yok etme, anonimleştirme işleminin mevzuata ve şirket politikasına uygun olarak gerçekleştirildiği ve gerektiğinde KVK Kurumuna ibraz edilebilen veriyi (Word, excel vs.) ifade etmektedir.
Yönetmelikteki tanıma göre bir kişisel veri envanterinde bulunması gerekenler:
i. Kişisel veri işleme amaçları
ii. Veri Kategorisi
iii. Aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirilerek oluşturulan ve kişisel verilerin işlenmesi için gerekli olan azami süreler
iv. Yabancı ülkelere aktarımı öngörülen kişisel süreler
v. Veri güvenliğine ilişkin alınan tedbirler
Yukarıda belirtilen kriterler göz önüne alınarak kişisel verilerle ilgili olarak bu verilerle yapılacak işlemlere ilişkin bilgiler ilgili envanterde toplanacaktır. Envanter içeriği, şirketimizin kanuna ve mevzuata uygun olarak kendi menfaatleri doğrultusunda Word, Excel gibi dijital ortamlarda saklanabileceği gibi dijital ortamlarda saklanması mümkün olmayan içerik kağıt ortamlarında da saklanabilmektedir.
Bölüm 6 da açıklanan kişisel verileri silme, yok etme, anonimleştirme işlemleri FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından veya FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’nin yetki verdiği bir görevli tarafından kişisel veri envanterinde gerçekleştirilir.
7.4.1.Kişisel Veri Envanterinin Hazırlanışı
Kişisel Veri Envanterinin hazırlanılış usulüne ilişkin ilgili mevzuatta hüküm varsa kişisel veri envanteri bu hükümler doğrultusunda FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından hazırlanacaktır. Kişisel Veri Envanterinin hazırlanış usulüne ilişkin ilgili mevzuatta hüküm olmadığı durumlarda şirketimiz, kendi iç çalışma disiplini, iş çalışma süreçlerini de dikkate alarak kişisel veri envanterini hazırlama hususunda hangi usulü seçeceği konusunda serbesttir.
BÖLÜM 8: VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASINA İLİŞKİN KURALLAR
8.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kişisel Verileri Koruma Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak şirketimize iletmeleri durumunda şirketimiz talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından başvuru sahibinden Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
Kişisel Verileri Koruma Kanunu’nun 13. maddesi gereğince, kişisel veri sahiplerinin yukarıda belirtilen haklarını kullanmakla ilgili taleplerini Şirketimizin internet sitesinde bulunan Kişisel Verilerin Korunması Kanunu Başvuru Formu’nu doldurarak aşağıda belirtilen yöntemlerle Şirketimize iletebilir.
YÖNTEM | ADRES |
Başvuruyu Şirketimize yazılı olarak iletmek (kişisel veri sahibinin bizzat gelerek kimliğini tevsik edici belge ile yazılı olarak başvurması veya başvuruyu noter kanalıyla tebliğ etmesi) | MÜSKEBİ MAH. 2721 CAD. NO:16/1 BODRUM MUĞLA |
Başvuruyu kayıtlı elektronik posta adresimize (KEP) göndermek | framebod@hso1.kep.tr |
Başvuruyu kişisel veri sahibinin Şirketimize daha önce bildirdiği ve sistemimizde kayıtlı bulunan e-posta adresini kullanarak Şirketimize göndermek | info@insperabodrum.com |
Başvuruyu güvenli elektronik imza veya mobil imza aracılığıyla Şirketimize göndermek |
|
8.1.1. Kişisel Verilere Erişim Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerine erişim hakkı bulunmaktadır. Şirketin menfaati ve veriyi tutmasında meşru hakkı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat kapsamında korunur; değiştirme ve silme hakkı gözetilir. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ ilgili kişiye;
8.1.2. Kişisel Verilerini Değiştirme veya Sildirme Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerini değiştirme veya sildirme hakkı bulunmaktadır. Bu kapsamda ilgili kişinin;
8.1.3. Kişisel Verilerin Güncelliğinin Sağlanması
Kişisel Verileri Koruma Kanunu uyarınca kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama yükümlülüğü bulunmaktadır, bu sebeple kişisel verilerin doğru ve güncel tutulması açısından ilgili tarafından şirketimize mevcut durum değişikliklerinin bildirilmesi gerekir. Şayet veri değişikliğinin ilgili kişi tarafından yazılı olarak FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’ne bildirilmediği taktirde verinin güncellenmemesi nedeniyle ortaya çıkan ya da çıkabilecek herhangi bir zarar ve yaptırımdan FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ sorumlu değildir.
8.2. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
Kişisel Verileri Koruma Kanunu’nun 12. maddesi gereğince veri sorumlusu;
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, ilgili kanun maddesi gereğince kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken ve müteselsilensorumludur. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ kendi kurum veya kuruluşunda bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaktadır.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından işbu hüküm tüm sözleşme, taahhüt, mutabakat metinlerine eklenerek işbu politikanın 5. Bölümünde veri aktarımı yapabilecek kişiler ile paylaşılmıştır; fiili imkansızlık sebebiyle ya da hayatın olağan akışına uygun olmaması nedeniyle sözleşme veya mutabakat metni oluşturulamayan hallerde ise www.insperabodrum.com internet sitesinden işbu politika kamuya açık hale getirilmiş olup, ilgililer tarafından görülebilir.
8.3. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
Kişisel veri sahipleri, Kişisel Verileri Koruma Kanunu’nun 28. maddesi gereğince aşağıdaki haller ilgili kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda aşağıda sayılan haklarını ileri süremezler:
Kişisel Verileri Koruma Kanunu’nun 28. maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç diğer haklarını ileri süremezler:
BÖLÜM 9: FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ TESİSLERİ İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ÜZERİNDEN YAPILAN VERİ İŞLEME FAALİYETLERİ
BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından güvenliğin sağlanması amacıyla, FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirket tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’NE AİT BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Bu bölümde FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’nin kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin bilgilendirme yapılacaktır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
Kamera ile İzleme Faaliyetinin Yasal Dayanağı
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından yürütülen kamera ile izleme faaliyeti sürdürülmektedir.
KVK Kanununa Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
Kamera ile İzleme Faaliyetinin Duyurulması
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından kamera ile izleme faaliyetine yönelik olarak; FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).
Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu politikada sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin tuvaletler) izlemeye tabi tutulmamaktadır.
Elde Edilen Verilerin Güvenliğinin Sağlanması
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel Verilerin Saklanma Süreleri isimli 7.3 maddesinde yer verilmiştir.
İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ binalarına gelen kişilerin isim ve soyadları elde edilirken ya da FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş- çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
ŞİRKETİN MİSAFİRLERİNE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI VE İNTERNET SİTESİ ZİYARETÇİLERİ
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; misafirlerin tesislerimiz içerisinde kaldığı süre boyunca internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmamaktadır.
ŞİRKETİN İNTERNET SİTESİ ZİYARETÇİLERİ
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin hareketleri kaydedilmemektedir.
BÖLÜM 10: YÜRÜRLÜK VE GÜNCELLENEBİRLİK
FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ tarafından düzenlenerek yürürlüğe girmiştir. Politika’nın tamamında veya bir kısmında güncelleme yapılabilir. İşbu politika, FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ’ne ait internet sitesinde (www.insperabodrum.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
EK-1 : KİŞİSEL VERİ AMAÇLARI
TANIMLAR
Özel Nitelikli Kişisel Veri Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini belirtir.
Kurum Kişisel Verileri Koruma Kurumunu ifade eder.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı belirtir.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
İş Ortağı FRAME BODRUM İŞLETME YÖNETİM VE TİCARET AŞ ticari ve her türlü organizasyonel faaliyetlerini yürütürken bizzat veya topluluk şirketleri ile birlikte projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu ve kişisel verilerin aktarıldığı firma ve şirketleri ifade eder.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi belirtir.
KVKK 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
KVKK madde 7
TCK 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu
TCK madde 138
Yönetmelik 28 Ekim 2017 Cumartesi Resmi Gazete’de yayımlanan 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
MADDE 12- (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
MADDE 7- Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
MADDE 10- (1)-c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
MADDE 13- İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
Hi, this is a comment.
To get started with moderating, editing, and deleting comments, please visit the Comments screen in the dashboard.
Commenter avatars come from Gravatar.