Kvkk Kapsamında Kişisel Verilerin İşlenmesi, Korunması Ve İmha Politikası

Veri sahibi kategorileri genel bilgi paylaşımı amacıyla belirtilmiştir. Veri sahibinin, bu kategorilerden herhangi birinin kapsamına girmemesi, Kanun’da belirtildiği şekilde veri sahibi niteliğini ortadan kaldırmamaktadır.

1. TANIMLAR

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

d) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

e) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

f) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

g) Kurul: Kişisel Verileri Koruma Kurulunu,

h) Kurum: Kişisel Verileri Koruma Kurumunu,

i) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

j) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

k) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri Sorumlusu bu kapsamda MEANDER FERİBOT İŞLETMELERİ ANONİM ŞİRKETİ’dir.

Ayrıca;

l) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

m) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

n) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

o) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,

p) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, ifade eder.

2. KİŞİSEL VERİ

6698 sayılı KVKK uyarınca “Kişisel Veri”; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelir. Kişisel veriler KVKK ve diğer kanunlarca öngörülen usul ve esaslara ve KVKK Madde 4’te sıralanan ilkelere uygun olarak işlenir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak Şirket KVKK kapsamında aşağıda belirtilen istisnai hallerde ilgili kişinin açık rızası olmaksızın kişisel verilerini işleyebilir;

a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİ

“Özel Nitelikli Kişisel Veri”; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileriniz ile biyometrik ve genetik verileri ifade eder.

KVKK uyarınca özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Ancak, KVKK’nın 6. maddesinin 3. fıkrası uyarınca aşağıdaki hallerde işlenmesi mümkündür:

a) İlgili kişinin açık rızasının bulunması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
d) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
e) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
f) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
g) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
h) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Meander’in faaliyetleri kapsamında özel nitelikli kişisel veri işlenmesi yalnızca yolcuların açık rızasıyla, seyahat güvenliğinin sağlanması amacıyla sınırlı kalmak üzere gündeme gelebilir (örneğin; engellilik durumu, hamilelik bilgisi, refakat ihtiyacı). Bu bilgiler yalnızca açık rıza çerçevesinde işlenecek olup, seyahat hizmetlerinin güvenli ve sağlıklı şekilde ifası için zorunlu olmadıkça işlenmeyecektir.

4. VERİ GÜVENLİĞİ

Şirket, Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Kurum, KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar.

5. KİŞİSEL VERİLERİN TOPLANMASI

MEANDER FERİBOT İŞLETMELERİ ANONİM ŞİRKETİ (“Şirket”), web sitelerini ziyaret eden veya sayfa üzerindeki formlar aracılığıyla iletişime geçen kişilerin kişisel verilerini; doğrudan ilgili kişilerden, çerezler ve benzeri dijital araçlar aracılığıyla toplamaktadır.

Kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. maddelerinde belirtilen şartlar doğrultusunda, aşağıda sayılan yöntemlerle toplanabilir:

. Web siteleri üzerindeki rezervasyon ve iletişim formlarının doldurulması,
. E-posta, telefon veya benzeri dijital yollarla Şirket ile iletişime geçilmesi,
. Ziyaretçi hareketlerinin çerezler yoluyla analiz edilmesi,
. Feribot bileti rezervasyonu, satın alma ve kapı vizesi başvurusu süreçlerinin yürütülmesi,
. Şirket’in yasal yükümlülüklerinin yerine getirilmesi kapsamında başvuru veya iletişim süreçlerinin yürütülmesi.
. Toplanan kişisel veriler, işbu Politika’da belirtilen amaçlar doğrultusunda, ilgili mevzuat kapsamında Şirket’in yasal görevlerinin yerine getirilmesi amacıyla ve/veya açık rızaya dayalı olarak işlenmekte olup, gerektiğinde Şirket tarafından yetkilendirilmiş veri işleyenler nezdinde de işlenebilir.

6. ŞIRKET TARAFINDAN İŞLENEN KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Kurumumuz tarafından işlenen kişisel veriler aşağıda yer alan EK-1 numaralı tabloda ayrıntılı bir şekilde gösterilmektedir.

7. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Şirket tarafından işlenen Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, kişisel verileri aşağıda yer alan ilkeler çerçevesinde işlemektedir.

• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• Belirli, açık ve meşru amaçlar için işlenme
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

8. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirket tarafından toplanan kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. maddelerinde belirtilen veri işleme şartlarına uygun olarak, aşağıdaki amaçlarla işlenmektedir:

. Feribot bileti rezervasyonu, satın alma ve değişiklik işlemlerinin gerçekleştirilmesi,
. Kapı vizesi başvurularının alınması, değerlendirilmesi ve ilgili resmi mercilere iletilmesi,
. Şirket’in sunduğu hizmetlere ilişkin bilgilendirme ve tanıtım süreçlerinin yürütülmesi,
. Kurumsal iletişim faaliyetlerinin yürütülmesi ve müşteri taleplerinin yanıtlanması,
. Ziyaretçilerin dijital hareketlerinin analiz edilerek kullanıcı deneyiminin iyileştirilmesi,
. Dijital altyapı ve bilgi güvenliği süreçlerinin planlanması ve icrası,
. Müşteri ve ziyaretçi taleplerine ilişkin başvuruların kaydedilmesi, arşivlenmesi ve gerektiğinde delil olarak kullanılabilmesi,
. Şirket’in yasal yükümlülüklerinin yerine getirilmesi.

9. KİŞİSEL VERİLERİN YURTİÇİNDE AKTARILMASI

Şirket tarafından websitesi üzerinden elde edilen kişisel veriler, yalnızca 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 8. maddesi kapsamında ve kişisel veri işleme amaçlarıyla sınırlı olarak, gerekli güvenlik önlemleri alınmak suretiyle üçüncü kişilere aktarılabilmektedir. KVKK’nın 8. maddesi uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın ancak aynı Kanun’un 5. maddesinin ikinci fıkrası veya yeterli önlemler alınmak kaydıyla 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması hâlinde aktarılabilmektedir. Buna göre; aşağıda belirtilen hallerde kişisel veri aktarılabilmektedir.

• Veri sahibinin açık rızası bulunması,
• Veri işlemenin kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
• Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, halinde mümkündür.

10. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Şirket tarafından işlenen kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5, 6 ve 9. maddelerinde öngörülen şartlara uygun olmak kaydıyla yurt dışına aktarılabilmektedir. Bu kapsamda, özellikle kapı vizesi başvurularının ilgili Yunan makamlarına iletilmesi, uluslararası feribot taşımacılığına ilişkin liman otoritelerine gerekli bilgilerin paylaşılması ve yurt dışında bulunan hizmet sağlayıcılar (örn. bulut tabanlı yazılım ve barındırma hizmetleri, ödeme kuruluşları) ile veri paylaşımı gündeme gelebilir.

Kişisel verilerin yurt dışına aktarılabilmesi için:

Kişisel Verileri Koruma Kurulu tarafından yeterlilik kararı verilen ülkelere aktarım yapılabilir.

Yeterlilik kararının bulunmadığı hallerde, KVKK m.9 ve 10.07.2024 tarihli ve 32598 sayılı Resmî Gazete’de yayımlanan “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” uyarınca öngörülen güvencelerden birinin sağlanması gerekir. Bunlar arasında;

. Kurul onaylı bağlayıcı şirket kuralları,

. Kurulca ilan edilen standart sözleşmeler,

. Yazılı taahhütnameler ve Kurul izni,

. Uluslararası kuruluşlar veya kamu kurumlarıyla yapılan özel düzenlemeler, yer alabilmektedir.

Bu güvencelerin bulunmaması halinde, KVKK m.9/6 uyarınca yalnızca istisnai hallerde (ilgili kişinin açık rızası, sözleşmenin ifası, kamu yararı, bir hakkın tesisi veya korunması, hayat veya beden bütünlüğünün korunması, kamuya açık sicillerden bilgi temini gibi durumlar) yurt dışına aktarım mümkündür.

Şirket, yurt dışına aktarım süreçlerinde ilgili kişilerin temel hak ve özgürlüklerini korumak amacıyla KVKK ve anılan Yönetmelik hükümlerine uygun teknik ve idari tedbirleri almakta, aktarım yapılan üçüncü kişilerin de gerekli güvenlik önlemlerini sağlamasını temin etmektedir.

11. KİŞİSEL BİLGİLERİN MUHAFAZASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kişisel Veriler KVKK ve 28.10.2017 Tarihinde Resmî Gazete’de yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik usul ve esasları uyarınca silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin silinmesi, kurul kararlarına ve işbu politika kapsamında kişisel veri saklama ve imha politikasına uygun olarak gerçekleştirilir.

KURUM, kişisel verileri işbu politikada belirtilen amaca uygun olarak gerektiği kadar muhafaza eder. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine KURUM tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir.

Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kurum kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

Şirket kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı takdirde, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha süresi 1 aydır.

İlgili kişi, Kuruma başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde bu talebi yerine getirilmek üzere hemen değerlendirmeye alınır.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Kurum talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kurum, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Kurum bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu politika kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Kurum tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Saklamayı gerektiren işleme amaçları;

• Kullanıcı taleplerinin karşılanması ve başvuru süreçlerinin yürütülmesi,
• Kurumsal iletişim faaliyetlerinin yürütülmesi,
• Tanıtım ve bilgilendirme hizmetlerinin sunulması,
• İstatistiksel analizler ve raporlama faaliyetlerinin gerçekleştirilmesi,
• Hizmet sözleşmelerinden veya hukuki yükümlülüklerden doğan işlemlerin ifası,
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
• Gelecekte doğabilecek uyuşmazlıklarda delil olarak kullanılmak üzere ispat yükümlülüğünün yerine getirilmesi.
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
• Kurum ile iş ilişkisinde bulunan gerçek/ tüzel kişilerle irtibat sağlamak,

İmhayı gerektiren sebepler;

• Kişisel verinin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Kişisel verinin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel veriyi işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• İlgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
• Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili bütün işlemler yetkili kişiler tarafından politika ve prosedürlere uygun olarak yapılır ve kayıt altına alınır.

12. KİŞİSEL VERİLERİN İMHASI

i Kişisel Verilerin Silinmesi Teknikleri

Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden veri türüne ve ortamına en uygun olanını seçmekte serbesttir. Silme işlemi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. Bu kapsamda, Şirket tarafından gerekli her türlü teknik ve idari tedbir alınmakta ve silme işlemleri yalnızca yetkilendirilmiş kişilerce yürütülmektedir.

• Elektronik Ortamda Yer Alan Kişisel Verilerin Silinmesi

Yazılım Yoluyla Güvenli Silme:

Otomatik ya da kısmen otomatik sistemlerde tutulan kişisel veriler, özel yazılımlar aracılığıyla, sistemden geri getirilemeyecek biçimde kalıcı olarak silinir.

Veri tabanı Komutlarıyla Silme (SQL vb.):

Kişisel veriler, veritabanı düzeyinde DELETE veya eşdeğer komutlarla silinmekte, bu işlem gerçekleştirilirken silme işlemini yapan kullanıcının veritabanı yöneticisi olmamasına özen gösterilmektedir.

Bulut ve Taşınabilir Medya Ortamlarında Silme:

Flash disk, harici disk veya bulut tabanlı depolama sistemlerinde tutulan kişisel veriler, bu ortamlara uygun özel yazılımlar kullanılarak şifreli biçimde saklanmakta, sonrasında kalıcı olarak silinmektedir.

Sunucu Sistemlerinde Silme:

Sunucu sistemlerinde tutulan ve saklama süresi sona eren kişisel veriler, sistem yöneticisi tarafından erişim yetkileri kaldırılarak, geri getirilemez şekilde sistemlerden kaldırılmaktadır.

Uzman Tarafından Güvenli Silme:

Gerektiğinde Şirket, kişisel verilerin silinmesi işlemini bu alanda uzmanlaşmış dış hizmet sağlayıcılara devredebilir. Bu durumda silme işlemleri, özel yazılım ve donanımlar kullanılarak, teknik olarak geri getirilemeyecek biçimde gerçekleştirilir.

ii Kişisel Verilerin Yok Edilmesi Teknikleri

Kişisel verilerin yok edilmesi, söz konusu verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bu işlem, ilgili verinin tutulduğu ortamın niteliğine göre farklı tekniklerle gerçekleştirilir. Şirket, kişisel verilerin yok edilmesine ilişkin işlemleri yalnızca yetkili personel aracılığıyla, yürürlükteki veri imha politikalarına uygun şekilde ve teknik/idarî önlemler eşliğinde yerine getirmektedir.

• Fiziksel Ortamda Yer Alan Kişisel Verilerin Yok Edilmesi

Otomatik olmayan yollarla işlenen ve fiziksel (basılı) ortamlarda tutulan kişisel veriler, kullanımı veya saklanması gerekli olmaktan çıktığında, geri getirilemeyecek ve yeniden kullanılamayacak şekilde fiziksel olarak yok edilir.

Örnek yöntemler:
Evrak öğütücü cihazlarında parçalama,
Yakma veya eritme,
Geri dönüşüm öncesi veriye erişimi engelleyecek şekilde fiziksel tahrip.

• Optik / Manyetik Medyada Yer Alan Verilerin Yok Edilmesi

Bu tür ortamlarda saklanan kişisel verilerin yok edilmesi aşağıdaki teknikler vasıtasıyla gerçekleştirilir:

De-manyetizasyon:

Manyetik ortamlar, özel cihazlarla yüksek manyetik alana maruz bırakılarak veriler okunamaz hâle getirilir. (Örn: HDD, manyetik bantlar)

Fiziksel Tahrip:

CD, DVD, disket gibi optik ya da manyetik ortamlar; eritilerek, yakılarak, toz hâline getirilerek ya da metal öğütücülerde parçalanarak kalıcı olarak yok edilir.

Üzerine Yazma (Overwriting):

Veri barındıran medya üzerine özel yazılımlar vasıtasıyla en az 7 kez rastgele “0” ve “1” değerlerinden oluşan yeni veriler yazılarak, mevcut verilerin kurtarılamayacak şekilde silinmesi sağlanır.

Bu yöntem özellikle yeniden yazılabilir diskler ve taşınabilir bellekler için kullanılmaktadır.

iii Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi; söz konusu verilerin, başka verilerle eşleştirilse dahi, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi işlemidir. Anonimleştirme işlemi, kişisel verilerin tanımlanabilirlik niteliğini kalıcı biçimde ortadan kaldırmayı amaçlamakta olup, geri döndürülemez biçimde yapılmalıdır.

Şirket, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, veri sorumlusu sıfatıyla söz konusu kişisel verileri silme, yok etme veya anonimleştirme yükümlülüğünü yerine getirir. Bu işlemler, Politikanın “Periyodik İmha” bölümünde belirlenen takvim uyarınca gerçekleştirilir.

KVKK madde 28(1) (ç) hükmü uyarınca, anonim hâle getirilmiş veriler resmî istatistik, araştırma, planlama ve istatistiksel analiz gibi amaçlarla işlenebilir ve bu tür veri işleme faaliyetleri Kanun kapsamı dışında değerlendirilir. Bu nedenle, anonim hâle getirilmiş verilere ilişkin olarak veri sahibinin KVKK kapsamında sahip olduğu haklar ileri sürülemez.

Veri Maskeleme (Data Masking):

Kişisel verilerin tanımlayıcı kısımlarının kalıcı şekilde çıkarılması veya yerine anlamsız içerik konulması suretiyle gerçekleştirilir. Örneğin; bir veri kümesindeki ad, soyad, T.C. kimlik numarası, telefon numarası gibi belirleyici verilerin maskeleme yoluyla çıkarılması sağlanır.

Veri Toplulaştırma (Data Aggregation):

Bireysel veriler, gruplandırılarak istatistiksel kümeler haline getirilir ve böylece belirli bir kişiye ait veri ile bağ kurulması imkânsız hale gelir. Örneğin, “2020 doğumlu birey sayısı: 74” ifadesi, kişisel veri içermez.

Veri Türetme (Data Derivation):

Mevcut kişisel verilerden daha genel içerikli veriler elde edilerek ilgili kişi ile olan bağın zayıflatılması ve belirlenebilirliğin ortadan kaldırılması hedeflenir. Örneğin, “12.02.1990” doğum tarihi yerine “1990 doğumlu” şeklinde genel veri sunulması.

Veri Karma (Data Shuffling):

Veri kümesindeki belirli veri alanlarının satırlar arasında karıştırılması yoluyla, kişisel veri bileşenleri arasındaki bağlantı koparılır. Bu sayede aynı kişiye ait veriler başka kişilerle rastgele eşleşmiş gibi görünür hale getirilir.

Gürültü Ekleme (Noise Injection):

Verilere belli oranlarda rastgele ve kontrollü sapmalar (bozulmalar) eklenerek, bireysel düzeyde analiz yapılabilirliğin ve kişiyle eşleştirmenin imkânsız hale getirilmesi sağlanır. Bu yöntem özellikle büyük veri kümeleri ve istatistiksel analizlerde tercih edilir.

Şirket kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

13. VERİ SAHİPLERİNİN HAKLARI

Kurum, Kanun’un 10. maddesine uygun olarak, Kişisel Veriler’in elde edilmesi sırasında Kişisel Veri Sahipleri’ni aydınlatmaktadır. KVKK Aydınlatma metnine “Aydınlatma Metni” adresinden ulaşabilirsiniz.

Bu kapsamda varsa, Kurum temsilcisinin kimliği, Kişisel Veriler’in hangi amaçla işleneceği, işlenen Kişisel Veriler’in kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri Sahibi’nin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Kurum, Kanun’un 10.maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmektedir.

Kişisel veri sahipleri KVKK’nın 11. maddesi uyarınca aşağıda belirtilen haklara sahiptir;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

14. VERİ SORUMLUSUNA BAŞVURU

Kişisel veri sahiplerinin yukarıda sayılan haklarına ilişkin Talepleri “Mahmut Esat Bozkurt Cad. Camikebir Mah. Turistik Site No:2F, Kusadasi 09400″, adresine göndereceğiniz noter ihtarnamesi ya da iadeli taahütlü posta yoluyla (veya aşağıda yer alan başvuru formunu doldurarak info @ meanderferibot. com e-posta adresine) kurumumuza iletmesi gerekmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Veri sorumlusu olan Şirket başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

15. KİŞİSEL VERİ SAHİBİNİN KVK KURULU’NA ŞİKÂYETTE BULUNMA HAKKI

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunma hakkına sahiptir.

16. GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER

Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika ’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.

İşbu Politika ’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.

Veri Sorumlusu; MEANDER FERİBOT İŞLETMELERİ ANONİM ŞİRKETİ
Adres: CAMİKEBİR MAHALLESİ MAHMUT ESAT BOZKURT CADDESİ TURİSTİK SİTE NO:14/B KUŞADASI/AYDIN
Mersis No: 0295010747400010