2005 yılında konaklama sektörünün ortak sesi olarak kurulan Türkiye Otelciler Federasyonu (TÜROFED), bugün 17 bölge derneği ile ülkemiz turizminin en geniş tabanlı çatı örgütü olma niteliğini taşımaktadır.



İletişim

KVKK

I. GİRİŞ

İşbu Kişisel Veri Saklama ve İmha Politikası ("İmha Politikası"), TÜROFED tarafından Kişisel Verilerin Korunması Kanunu ("Kanun") Madde 7 ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ("Yönetmelik") ve Veri Saklama Planı (Data Retention Schedule) uyarınca hazırlanmıştır.

İmha Politikasının amacı, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, (i) kişisel verilerin muhafazası ve silinmesi amacıyla Kanun ve Yönetmelik'e uygun sürelerin belirlenmesi, (ii) çalışan ve bağımsız yüklenicilere, kişisel verilerin hangi süre ve koşullarda saklanacağına ilişkin bilgi sağlanması, (iii)
tutulması gerekli kişisel verilerin Kanun ve Yönetmelik'e uygun olarak saklanmasını sağlanması, ve (iv)
tutulan kayıt ortamlarının belirlenmesi suretiyle saklanan kişisel verilere hızlı, kolay ve etkili erişimin
sağlanmasıdır.

II. ROLLER VE SORUMLULUKLAR
İşbu İmha Politikası'nın Şirket'in tüm işleyiş, faaliyet ve süreçlerinde uygulanmasından, _________ hizmet
aldığı bilişim uzmanları sorumlu olmakla birlikte; İmha Politikası'na uygun olarak hazırlanan prosedür,
kılavuz, standart ve eğitim faaliyetlerinin Şirket bünyesinde uygulanmasında, _________ bizzat görev
alacaktır. Şirket genelindeki tüm çalışanlar, paydaşlar ve ilgili üçüncü kişiler, İmha Politikası'na uyum ile
birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, _________ ile iş birliği yapmalıdırlar.
_________ tüm organ ve departmanları İmha Politikası'na uyulmasını gözetmekle yükümlüdür.

III. POLİTİKA ESASLARI

Kanunun 7. maddesi uyarınca, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin
talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
İşbu İmha Politikası'nın hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmelik'e uygun biçimde
saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez. Şirket, İmha Politikası'na
uyum "Roller ve Sorumluluklar" bölümüne uygun olarak gözetmelidir.

A. Kişisel veri saklama ve imha politikasının hazırlanma amacı

İmha Politikası, Şirket'in, Kanun'un Madde 7 hükmü ile Yönetmelik uyarınca, işlenmesini gerektiren

sebeplerin ortadan kalkması halinde kişisel verilerin ilgili kişinin talebi üzerine Veri Sorumlusu sıfatıyla

Şirket tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğünün yerine

getirilmesini sağlamak amacıyla, Şirket tarafından tutulan kişisel verilerin işlendikleri amaç için gerekli

olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemlerinin dayanağını

açıklamaktadır.


2


A. Kayıt ortamları

_________, aşağıda detayları açıklanan kayıt ortamlarında veri işleme faaliyetlerini sürdürmektedir:

- Fiziksel Kayıtlar: Kağıt dokümanlar veya hidrokarbon örnekler gibi fiziksel kayıtlar. Söz konusu

kayıtlar, fiziksel eşya ve fiziksel eşyaları tanımlayan metaveriyi içermektedir. Eşya, fiziksel ortamda

tutulmakta ve fiziksel eşyayı tanımlayan metaveri uygulamaların olması halinde bu türdeki

uygulamalar ve sistemlerde listelenmektedir.

- Elektronik Kayıtlar: E-posta ve elektronik çizelge gibi elektronik dokümanlar. Kayıt, elektronik

doküman ve elektronik dokümanı tanımlayan metaveriyi içermektedir. Hem doküman hem

dokümanı tanımlayan metaveri uygulamaların olması halinde bu türdeki uygulamalar ve sistemlerde

saklanmaktadır.

- Uygulama Kayıtları: Siparişler ve müşteri verileri gibi elektronik yapısal veri kayıtları. Yapı ve düzen

ve kayıtta tutulan veri unsurlarının toplulaştırılmış olarak sunumunu tanımlayan metaveriyi (tüm

kayıt unsurları okunabilir duruma getirildiğinde) de içeren ve kaydın bütünlüğünü sağlayacak şekilde

tüm veri unsurlarından oluşturmaktadır. Kayıt seviyesinde, uygulama kayıtları …… içinde

saklanmaktadır. Dosya Planlama seviyesinde, kayıt uygulama ve türleri ….. Uygulamasında

tutulmaktadır.

Her bir tür kayıt için metaveri; bibliyografik, yönetimsel, denetim ve erişim verilerini içermektedir.

B. Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları

"Ek-1 Tanımlar" Bölümü'nde İmha Politikası'nda yer verilen hukuki ve teknik terimlerin tanımları

bulunmaktadır.

C. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin

açıklama

1. Kişisel verilerin saklanmasını gerektiren sebepler

Kişisel verilerin saklanmasını gerektiren sebepler, Kişisel Veri İşleme Envanteri'nde yer almaktadır.

2. Kişisel verilerin imhasını gerektiren sebepler

a. periyodik imha sürelerine uyum sağlama,

b. ilgili kişilerin, Şirket Kişisel Verilerin Korunması Politikası uyarınca iletmiş oldukları silme

talebinin yerine getirilmesi.


3


D. Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve

erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler


Fiziksel Tedbirler

- Fiziksel erişim kontrolleri (kilitli oda ve dolaplar)

- Rol tabanlı fiziksel kontroller

- Erişim kartları (badge)

- Güvenli web portalı

- Güvenlik planı

- Çalışma yerlerine uygulanabilir fiziksel güvenlik

- Kişisel verilerin depolandığı donanımı yöneten güvenlik tedbirleri

- Kişisel verinin güvenli yok edilmesine ilişkin tedbirler

- Back-up saklama (yedekleme)

Teknik Tedbirler

- Kişiye özel kullanıcı adları (user ID'ler)

- Şifreler

- Otomatik oturum kapatma

- Geçmişin denetlenmesi/ kaydın tutulması

- Güvenlik duvarı

- Şifreleme

- Verinin anonimleştirilmesi

İdari Tedbirler

- Kişisel veriyi kullanması gereken Şirket çalışanlarının veriye erişimini kısıtlayan politikalar

- Kişisel verinin uygun toplanması, kullanımı, ifşası, depolanması ve/veya yok edilmesine

ilişkin politikalar

- Kişisel veri depolayan mobil elektronik araçların uygun kullanımına ilişkin politikalar

E. Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler

Kişisel verilerin imha edilmesi, Şirket tarafından silme, yok etme veya anonim hale getirme

yöntemlerinden biri seçilerek gerçekleştirilmektedir.

1. Kişisel Verilerin Silinmesi Yöntemleri

a. Hizmet olarak Uygulama Türü Bulut Çözümleri (Office 365, Salesforce, Dropbox)


4


Bulut sisteminde veriler silme komutu verilerek silinmektedir. Anılan işlem gerçekleştirilirken ilgili

kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin bulunmamaktadır.

b. Kâğıt Ortamında Bulunan Kişisel Veriler

Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili

evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise

geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili

kullanıcılara görünemez hale getirilmesi şeklinde yapılmaktadır.

c. Merkezi Sunucuda Yer Alan Ofis Dosyaları

Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin

üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Anılan işlem gerçekleştirilirken ilgili kullanıcının

aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.

d. Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar

kullanılarak silinir.

e. Veri Tabanları

Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem

gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.

2. Kişisel Verilerin Yok Edilmesi Yöntemleri

[ŞİRKET KİŞİSEL VERİLERİ YOK ETME YÖNTEMİNİ BENİMSEDİĞİ TAKDİRDE AŞAĞIDA AÇIKLAMALARA YER

VERİNİZ. AŞAĞIDA, REFERANS ALMANIZ AMACIYLA KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA

ANONİM HALE GETİRİLMESİ REHBERİNDE YER ALAN YÖNTEMLERE YER VERİLMİŞTİR.]

a. Yerel Sistemler

De-manyetize etme, fiziksel yok etme, üzerine yazma yöntemleri kullanılmaktadır.

b. Çevresel Sistemler

a. Ağ cihazları (switch, router vb.)

b. Flash tabanlı ortamlar

c. Manyetik bant

d. Manyetik disk gibi üniteler

e. Mobil telefonlar

f. Optik diskler

g. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri

h. Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri


5


c. Kağıt ve mikrofiş ortamları

d. Bulut ortamı

3. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri


Değer düzensizliği sağlamayan anonim hale

getirme yöntemleri


 Değişkenleri çıkartma

 Kayıtları çıkartma

 Alt ve üst sınır kodlama

 Bölgesel gizleme

 Örnekleme


Değer düzensizliği sağlayan anonim hale getirme

yöntemleri


 Mikro-Birleştirme

 Veri Değiş-Tokuşu

 Gürültü Ekleme

 Tekrar Örnekleme


Anonim hale getirmeyi kuvvetlendirici istatistik

yöntemler


 Anonimlik

 Çeşitlilik

 Yakınlık


6


EK 1- TANIMLAR

İşbu Politika'da kullanılan terimler aşağıda yer alan anlamlara gelmektedir:

Açık rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan


rıza


Alıcı grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi


kategorisi;


Anonim hale

getirme


Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli

veya

belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi;


Doğrudan

tanımlayıcılar


Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa

eden ve ayırt edilebilir kılan tanımlayıcıları;


Dolaylı

tanımlayıcılar


Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran,

ifşa eden ve ayırt edilebilir kılan tanımlayıcıları;


İlgili kişi Kişisel verisi işlenen gerçek kişi;

İlgili kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu

olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde

veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri

işleyen kişiler;


İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi;

Kanun 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu;

Karartma Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi

işlemleri;


Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin

parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin

bulunduğu her türlü ortam;


Kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;

Kişisel veri işleme Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel


7


envanteri verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi,

aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve

kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı

ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan

tedbirleri açıklayarak detaylandırdıkları envanter;


Kişisel veri

saklama ve imha

politikası


Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami

süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için

dayanak yaptıkları politika;


Kişisel verilerin

işlenmesi


Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt

sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,

kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden

düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle

getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler

üzerinde gerçekleştirilen her türlü işlem;

Kurum Kişisel Verileri Koruma Kurumu;

Maskeleme Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve

yıldızlanması gibi işlemleri;


Periyodik imha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması

durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden

aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme

işlemi


Sicil Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları


sicili;


Veri işleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen


gerçek veya tüzel kişi;


Veri kayıt sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi;

Veri sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin

kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.


8


9

EK 2- SAKLAMA VE PERİYODİK İMHA SÜRELERİ

Kayıt Türü Detaylar Saklama Süresi

Paydaş İlişkileri ve Taahhütler Dış paydaşlar, topluluklar,

Şirket'in katıldığı veya sponsor

olduğu hayırsever

organizasyonlar, işveren Şirket

iletişimleri, haber bültenleri.

Medya ve halkla ilişkiler

faaliyetleri, konuşmalar,

sunumlar, basın duyuruları ve

basılı makaleler veya radyo,

televizyon bildirimleri, halkla

ilişkilere ilişkin kayıtlar, sosyal

yardım programları, hayırsever

ve bağış toplama

organizasyonları


10 yıl


Kazalar ve Tazminat Talepleri Şirket ile ilgili tüm tazminat

taleplerini içermektedir.

Söz konusu kayıtlar; zarar

tahminleri, tanık beyanları, çek

ve fatura kopyaları, resmi

kayıt/raporlar, iddiaların ibrası,

iddiaya ilişkin alınan aksiyon ve

tüm rücu mekanizmalarını

içermektedir.


10 yıl


Defteri Kebir İşlemleri Alacak hesapları, borç hesapları,

gelir muhasebesi, hizmet ve

ücret muhasebesi


10 yıl


Hediyeler ve Bağışlar Hediyeler, sosyal yatırımlar,

bağışlar ve sponsorluklar


10 yıl


Sigorta Başvuru Kayıtları ve Risk

Değerlendirmeleri


Sigorta katılım kayıtları,

başvurular ve yenilemeler


15 yıl


Çalışan Özlük Dosyaları Çalışanların, Şirket'te çalışmaları

boyunca tutulan tüm kayıtlardır

ve aşağıdakileri de içermektedir:


İş sözleşmesi süresi boyunca

+ 10 yıl


10

- iş sözleşmesi,

- feshe ilişkin belgeler,

- izinler,

- terfi,

- hastalık,

- Grup çalışan hisse satın alma

planları,

- çalışan özet bilgisi,

- bireysel performans

yönetimi,

- gelişme planları,

- eğitim kayıtları,

- hizmet ödülleri,

- işten çıkış mülakatları,

- işten çıkarma paket bilgileri,

- işe giriş başvuruları,

- yan haklar.


Sağlık kayıtları (ayrı ve gizli dosya) - İş sözleşmesi süresi boyunca


+ 15 yıl


Adli sicil kayıtları (ayrı ve gizli

dosya)


- İş sözleşmesi süresi boyunca


İnsan Kaynakları Planlamaları Tüm insan kaynakları politikaları

ve destekleyici dokümanlar.


10 yıl


İşe alınmayan iş adaylarının kişisel

verileri


İşe alım sürecinde toplanan tüm

kayıtları içermektedir:

- mülakat raporları,

- özgeçmişler,

- iş teklifleri,

- reddedilen başvurular,

- başlangıç değerlendirmeleri,

- işe alım sürecinde yapılan ön

eleme (screening)


2 yıl


Çalışan eğitimleri Eğitim planları ve katılım listeleri 10 yıl


11


Sözleşmeler Sözleşmeler ve ilgili iletişimler Sözleşme süresi boyunca +


10 yıl


Dava dosyaları - Temyiz süresinin sona ermesi


itibariyle 1 yıl


Müşteri ve Karşı Taraf Verileri Müşteriler ile ticari ilişki

süresince alınan tüm veriler


Müşteri ilişkisinin sona

ermesi itibariyle 15 yıl


Müşteri Bilgileri (rıza olduğunda) İlgili kişilerden rızaları ile

toplanmış olan tüm verilerdir.

Örneğin; açık rıza, pazarlama

iletişimi tercihleri, sadakat

ödülleri, mobil uygulama ayarları


Müşteri ilişkisinin sona

ermesi itibariyle 5 yıl


Müşteri Bilgileri (rıza geri

alındığında veya inaktif duruma

geçtiğinde)


Rızanın geri alındığının kanıtı;

pazarlama iletişimi tercihleri,

sadakat ödülleri, mobil uygulama

ayarları


Talebin alınması itibariyle 90