KVKK Politikası

Afyonkarahisar Otobüs İstasyonu Turizm A.Ş. ' nin kişisel verilere ilişkin sorumluluk ve görevlerini, kişisel verileri toplama yöntemi; sebebi ve amacını ve veri sahibinin haklarını içeren şirket politikası .

Hızlı Erişim

KVKK Politikası ve Gizlilik Bildirimi


Politikanın Amacı ve Kapsamı

AFTAŞ-Afyonkarahisar Otobüs İstasyonu Turizm Anonim Şirketi (“Şirket’’ olarak anılacaktır.) Kişisel Verilerin İşlenmesi ve Korunması Politikası doğrultusunda, kişisel verilerin korunmasına ilişkin T.C. Anayasası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sair ilgili mevzuat tarafından getirilmiş ilke ve kurallara uymaya, ilgili kişilerin haklarını korumaya son derece önem vermektedir. Bu doğrultuda uygulanmak ve geliştirilmek üzere işbu politika hazırlanmıştır.

İşbu politika, AFTAŞ-Afyonkarahisar Otobüs İstasyonu Turizm Anonim Şirketi için hazırlanmış olup kurum bünyesinde verilen hizmetleri kapsamaktadır. Politika, Şirketin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini, sözleşmeleri, çevre ve fiziksel alanları ve tüm bunlar için hazırlanmış düzenlemeleri kapsamaktadır. Bu politika Şirketin Yönetim Kurulunu, tüm departmanları, müdürlükleri, her türlü hizmeti veren firma çalışanlarını, stajyer ve sözleşmeli tüm personeli, ürün veya hizmet alıcılarını, ziyaretçileri ve ilgili tüm kişi gruplarını kapsamaktadır. KVKK veya işbu politikayı ihlal edici her türlü eylem ilgili mevzuat kapsamında değerlendirilir ve bu doğrultuda yaptırımlar uygulanır.

Çalışanlarımızın kişisel verilerinin korunmasına ilişkin yürütülen faaliyetler ise, bu Politika’daki esaslara paralel olarak kaleme alınan AFTAŞ-Afyonkarahisar Otobüs İstasyonu Turizm Anonim Şirketi Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.

Politika ile Şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumunu temin etmek için gereken düzenin kurulması amaçlanmaktadır.

Kişisel verilerin korunması çerçevesindeki uygulamalar ve yasal düzenlemeler hakkında güncel bilgiler sunmak amacıyla Politika’da değişiklikler yapma hakkı saklı tutulmaktadır. Bununla birlikte, Politika’da esaslı değişiklikler yapılması halinde veri sahipleri uygun kanallar aracılığıyla haberdar edilecektir.

TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme: Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Çalışan: Şirket personeli

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi: Kişisel verisi işlenen gerçek kişi örneğin; müşteriler ve çalışan adayları

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurulu arasındaki iletişimin sağlanmasından sorumlu kişidir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Sağlık Verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

KVK Kurulu: Kişisel Verilere Koruma Kurulu

KVK Kurumu: Kişisel Verileri Koruma Kurumu

AFTAŞ-Afyonkarahisar Otobüs İstasyonu Turizm Anonim Şirketi Tedarikçileri: Sözleşme temelli olarak AFTAŞ-Afyonkarahisar Otobüs İstasyonu Turizm Anonim Şirketi’ne hizmet sunan taraflar

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Politika: Kişisel Verilerin İşlenmesi ve Korunması Politikası

Veri İşleyen: Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu: Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten gerçek veya tüzel kişi

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

  1. Kişisel Veri Güvenliğinin Sağlanması

Şirket, Kanun’un 12. Maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirket, Kişisel Verileri Koruma Kurulu tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek İçin Şirket Tarafından Alınan İdari ve Teknik Tedbirler

İdari Tedbirler

  • Şirket kişisel verilere erişimi olan tüm çalışanların bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıkların artırılması ve bilinçlendirilmesi için çalışmalar yapmaktadır.
  • Kişisel verilerin paylaşılması ile ilgili olarak kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalanır yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliği sağlanır. Gizlilik taahhütnameleri yapılır.
  • Kişisel verilerin korunmasına yönelik Şirket içinde güvenlik politika ve prosedürleri oluşturulmuştur. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.

Teknik Tedbirler

  • Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli donanımsal ve yazılımsal önlemler alınmaktadır.
  • Kişisel verilerin korunmasına yönelik uygun teknik tedbirlerin alınması sağlanmakta ve alınan teknik tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Teknik konulara ilişkin uzman personel istihdam edilmektedir aksi takdirde destek hizmetleri alınmaktadır.
  • Alınan teknik tedbirlerin uygulanmasına yönelik düzenli aralıklarla gerekli denetim ve kontroller yapılmaktadır.


  1. Özel Nitelikli Kişisel Verilerin Korunması

Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Kanun lafzında bu veriler özel nitelikli kişisel veriler olarak tanımlanmıştır. Şirket tarafından Kanun ile ‘özel nitelikli’ olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda Şirket tarafından, kişisel verilerin korunması ve güvenliği için alınan teknik ve idari tedbirler, özel nitelikli kişisel verilerin korunması bakımından özenle uygulanmakta ve şirket bünyesinde gerekli denetimler sağlanmaktadır.

  1. Sorumluluklar

Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine yönelik gerekli eğitimlerin düzenlenmesini sağlamaktadır. Şirket, çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemleri kurmakta, konuya ilişkin danışmanlık hizmeti almaktadır.

  1. Kişisel Verilerin İşlenmesinde İlkeler ve Uyulacak Kurallar

Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

  1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme

Şirket bünyesinde ilgili kişilerin kişisel verileri dürüstlük kurallarına uygun, şeffaf ve aydınlatma yükümlülüğü çerçevesinde işlenmektedir.

  1. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerinde gerekli tedbirler alınmakta, ilgili kişiye verilerini güncellemesi ve var ise işlenen verilerindeki hataların düzeltilebilmesi için başvuru imkânı sunulmaktadır.

  1. Belirli Açık ve Meşru Amaçlarla İşleme

Şirket tarafından kişisel verilerin kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve ticari hayatın olağan akışı çerçevesinde faaliyetlerini sürdürmek için belirlenen meşru amaçlar dahilinde kişisel veriler işlenmektedir.

  1. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler açık ve kesin olarak belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. İlgili olmayan ve işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

  1. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu sebeple, işlenen kişisel veriler ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklanmaktadır. Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel veriler silinmekte, yok edilmektedir.

  1. Kişisel Verilerin İşlenme Şartları

Şirket, kişisel veri işleme faaliyetlerini, KVK Kanunu’nun 5. Ve 6. Maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik’te ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir.

Şirket, kişisel veri işleme faaliyetleri bakımından söz konusu veri işleme şartlarının mevcut olup olmadığını tespit etmeli, şartların bulunmaması durumunda kişisel veri işleme faaliyetini gerçekleştirmemektedir.

Bu kapsamda, kişisel veri işleme faaliyetleri aşağıda belirtilen kişisel veri işleme şartlarının varlığı halinde gerçekleşmektedir.

  1. İlgili Kişinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri de ilgili kişinin açık rızasıdır. İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde Şirket kişisel veri işleme faaliyetini yürütmektedir.

Aşağıda yer alan kişisel veri işleme şartlarından birinin veya birkaçının varlığı halinde ise, ilgili kişinin açık rızasına başvurulmaksızın veri işleme faaliyeti yapılabilecektir.


  1. Kanunlarda ve İlgili Mevzuatta Açıkça Öngörülmesi

Kişisel veri işleme faaliyetine ilişkin, kanunlarda açıkça düzenleme bulunması durumunda, Şirket tarafından ilgili kanuni düzenleme ile sınırlı olarak veri işleme faaliyeti yürütülecektir.

  1. Fiili İmkânsızlık Sebebiyle İlgili Kişinin Açık Rızasının Alınamaması ve Veri İşlemenin Zorunlu Olması

İlgili kişinin açık rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verinin işlenmesi zorunlu ise Şirket tarafından bu kapsamda veri işleme faaliyeti yürütülecektir.

  1. Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise, Şirket tarafından sadece sözleşme kapsamında veri işleme faaliyeti yürütülecektir. 

  1. Veri Sorumlusunun Hukuki Yükümlülüğünün Yerine Getirilmesi için Veri İşleme Faaliyetinin Zorunlu Olması

Şirketin hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğün yerine getirilmesi için veri işleme faaliyeti yürütülecektir.

  1. İlgili Kişinin Kişisel Verisini Alenileştirmesi

Şirket tarafından, ilgili kişinin kendisi tarafından alenileştirilen kişisel veriler alenileştirilme amacına uygun olarak işlenebilecektir.

  1. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda Şirket tarafından bu zorunluluk ile orantılı biçimde veri işleme faaliyeti yürütülecektir.

  1. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Veri Sorumlusunun Meşru Menfaati İçin Gerekli Olması

Şirketin meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, ilgili kişinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülecektir.

  1. Özel Nitelikli Verilerin İşlenme Şartları

Şirket tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma, mağduriyet yaşatma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir.

Bu kapsamda özel nitelikli kişisel veriler Şirket tarafından KVK Kurulu tarafından belirtilen önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilecektir:

  1. Kişisel Sağlık Verilerinin İşlenmesi

Şirket tarafından kişisel sağlık verileri aşağıda sayılan şartlardan birinin varlığı halinde işlenebilecektir:

  • kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ve/veya
  • ilgili kişinin açık rıza vermesi
  1. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirket tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, kılık-kıyafet, dernek, vakıf veya sendika üyeliği, biyometrik veriler, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler) ilgili kişinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilecektir.

  1. Kişisel Verilerin Aktarılması
    1. Kişisel Verilerin Yurt İçine Aktarımı

Şirket kişisel verilerin aktarılması konusunda Kanun’da öngörülen ve Kurul tarafından alınan karar ve düzenlemelere uygun şekilde hareket etmektedir.

Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere Şirket tarafından aktarılmaz.

Kanun ve sair mevzuatın öngördüğü istisnai hallerde ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler, mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan kurum ve kuruluşlara veya özel hukuk tüzel kişilerine aktarılabilir.

  • Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
  • Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerin aktarılmasının Şirket’in hukuki yükümlülüğünü yerine getirilebilmesi için zorunlu olması,
  • Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,
  • Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
  • Fiili imkansızlık sebebiyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
    1. Kişisel Verilerin Yurt Dışına Aktarımı

Kişisel veriler kural olarak ilgili kişinin açık rızası olmadan yurt dışına aktarılmaz. Ancak istisnai hallerin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin;

  • Kurul’un ilan ettiği yeterli korumanın olduğu ülkelerde bulunması,
  • Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması hallerinde açık rıza olmadan, kişisel veriler yurt dışına aktarılabilir.
  1. Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler Şirket tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verileri, ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.
  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde ilgili kişinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.

  1. İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi

Şirket tarafından, kişisel veriler toplanırken öncelikle Kanun’un 10. Maddesine Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak ilgili kişiler açıkça bilgilendirilerek aydınlatılmaktadır. İlgili kişi Aydınlatma metinlerinde;

  • Şirketin unvanı, açık adresi ve iletişim bilgileri,
  • Mevcut ise temsilci kimliğine ilişkin bilgiler,
  • Kişisel veri kategorileri,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Veri toplama yöntemi ve hukuki sebebi,
  • İlgili kişinin Kanun’un 11. Maddesinde sayılan hakları ve Şirket’e başvuru yolları, yer almaktadır.

Şirket işbu Aydınlatma metinleri ile Kişisel Verilerin Korunmasında şeffaf ve ulaşılabilir olmayı hedeflemiştir.

  1. Kişisel Verilerin Saklanması ve İmhası

Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda Şirket, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya ilgili kişi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Şirket internet sayfasında yayınlanan AFTAŞ-Afyonkarahisar Otobüs İstasyonu Turizm Anonim Şirketi Saklama ve İmha Politikası içeriğinde saklama ve imha sürelerinin detaylarına, saklama ve imhaya ilişkin alınan teknik ve idari tedbirlere yer verilmiştir.

  1. İlgili Kişilerin Hakları ve Bu Hakların Kullanılması

12.1. İlgili Kişilerin Hakları

İlgili kişiler Kanun kapsamında aşağıda yer alan haklara sahiptirler:

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel veri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  6. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

12.2. İlgili Kişinin Haklarını Kullanması

İlgili kişiler Kanun’un 11. Maddesinde sayılan haklar kapsamındaki taleplerini, Veri Sorumlusu Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine uygun şekilde Şirketin ilgili kişinin gerçek hak sahibi olduğunun tespitini yapabilmesi için kimliklerini doğrulayan bilgilerle / belgelerle (T.C. Kimlik Numarası, adres, cep telefonu vb.) birlikte https://kvkk.aftas.com.tr adresindeki İlgili Kişi Başvuru Formu’nu doldurarak

  • Yazılı olarak iadeli taahhütlü posta ile Ertuğrul Gazi Mah. Küme Evler No:3 Yeni Otogar Tesisleri Merkez, Afyonkarahisar adresine,
  • Güvenli elektronik imza veya mobil imza ile imzalanarak Kayıtlı Elektronik Posta (KEP) aftas@hs01.kep.tr adresine veya
  • Tarafımıza daha önce bildirmiş olduğunuz ve sistemlerimize kayıtlı e-posta adresiniz üzerinden info@aftas.com.tr  adresine elektronik olarak

İletebilirler.

*Şirkete iletilen kimlik doğrulayıcı nitelikteki bilgi veya belgelerde özel nitelikli verilere (kan grubu, din bilgisi vb.) yer verilmemesi gerekmektedir.* Şirket ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilir.

  1. Şirket’in Başvurulara Cevap Vermesi

Şirket, ilgili kişi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.

İlgili kişinin talebinin niteliğine göre en kısa sürede ve en geç 30 gün içinde başvuru ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre ilgili kişiden ücret talep edilebilecektir.

  1. İş Yeri ve İnternet Sitesi Ziyaretçilerine İlişkin Veri İşleme Faaliyetleri
      1. İş Yeri kapsamında Kamera ile İzleme Faaliyetleri
  1. Kişisel verilerin korunması hukukuna uygun şekilde iş yerinin, çalışanların, ziyaretçilerin ve müşterilerin güvenliğinin sağlanabilmesi amacıyla ve bu amaçla sınırlı olarak güvenlik kamerası ile izleme faaliyeti yürütülmektedir.
  2. Kamera ile izleme faaliyeti ilgili kişilere bildirilmektedir.
  3. Kamera ile izleme faaliyeti kapsamında elde edilen verilerin güvenliği sağlanmaktadır.
  4. Kamera ile izleme faaliyeti kapsamında elde edilen kişisel verilerin muhafaza süresi Şirket tarafından belirlenmiş ve ilgili kişiler bu konuda aydınlatılmıştır.
  5. İzleme sonucunda elde edilen bilgilere kimlerin erişebildiği ve bu bilgilerin kimlere aktarıldığı, şeklindeki bilgiler Kurul’un resmi internet sitesinde ilan etmiş olduğu şekilde ‘katmanlı’ olarak aydınlatma metinlerine eklenmiştir. Kamera sistemlerinin bulunduğu tüm yerlere tablolar halinde Katmanlı Kamera Aydınlatma Metinleri asılmıştır.
      1.   İş Yeri Misafir Giriş Çıkış Kayıtlarının Takibi

Şirket güvenliğin sağlanması ve işbu Politika’da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunmaktadır. Misafir olarak Şirket binalarına gelen kişilerin kişisel verileri elde edilirken ilgili kişiler, Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla aydınlatılmaktadır.

  1. İnternet Sitesi Ziyaretçileri

Çerez kayıtları, Şirket internet sitesinin işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanılmaktadır. Şirket internet sitesinde geçirilen vaktin daha verimli hale getirilmesi amaçlanmaktadır. Bunların yanında, internet sitesinde yapılan tercihlerin hatırlanmasına yönelik bazı çerezlerden yararlanılmakta ve bu sayede kullanıcılara geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlanmaktadır. İnternet sitesinde yer alan çerezler üzerinden kişisel veriler toplanmakta, toplanan veriler işlenmekte, aktarılmakta ve saklanabilmektedir. İnternet sitesinde kullanılan çerezlere ilişkin detaylı bilgi için Şirket internet sitesinde https://kvkk.aftas.com.tr yer alan AFTAŞ-Afyonkarahisar Otobüs İstasyonu Turizm Anonim Şirketi Çerez Politikasını İnceleyebilirsiniz.

  1. İhlal Durumu ile Karşılaşılması Halinde Yapılacaklar

Şirket tarafından alınan tüm teknik ve idari tedbirlere karşın bir ihlal durumu ortaya çıkarsa, ihlalin öğrenilmesinden itibaren irtibat kişisi vasıtasıyla Kişisel Verileri Koruma Kurulu’na (en geç 72 saat içerisinde) bildirim yapılacaktır. İhlal durumunda ilgili kişilere açık şekilde bildirim yapılacaktır. Bu bildirimde;

  • İhlalin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları yer alacaktır.

KİŞİSEL VERİ İŞLEME AMAÇLARI

Şirketin İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi

  • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimleri Tarafından Gerekli Çalışmaların Yapılması veya Buna Bağlı İş Süreçlerinin Yürütülmesi

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  • Lojistik Faaliyetlerinin Yürütülmesi

Şirket’in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası

  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Stratejik Planlama Faaliyetlerinin Yürütülmesi

Şirket’in ve Şirket’le İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temini

  • Fiziksel Mekân Güvenliğinin Temini
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  • Taşınır Mal ve Kaynakların Güvenliğinin Temini
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi

KİŞİSEL VERİ SAHİPLERİ

Aile Bireyleri ve Yakınları: Şirket tarafından yürütülen faaliyetler çerçevesinde bu Politika kapsamında kişisel verileri işlenen çalışanların eş, çocuk ve yakınları.

Çalışan Adayı: Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişiler

Çalışan: Şirket tarafından yürütülen etkinlik, çalışan memnuniyeti, insan kaynakları faaliyetleri, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb. çerçevesinde kişisel verileri işlenen Şirket çalışanı gerçek kişiler

Şirket Hissedarı: Şirketin hissedarı gerçek kişiler

Şirket Tedarikçisi: Şirket’in ticari faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan taraf çalışanı, yetkilisi veya hissedarı olan gerçek kişiler.

Üçüncü Kişi: Bu Politika kapsamına girmeyen diğer gerçek kişiler. (Örn: Kefil, Refakatçi, Eski çalışanlar)

Ürün veya Hizmet Alan Kişi: Şirket ile sözleşmesel iş ilişkileri kapsamında kişisel verileri elde edilen gerçek kişiler

Ziyaretçi: Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya Şirket internet sitesini ziyaret eden gerçek kişiler

KİŞİSEL VERİ KATEGORİZASYONU

Kimlik Bilgisi: Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir: Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne-baba adı, doğum tarihi/yeri, cinsiyet, medeni hal, ehliyet, nüfus cüzdanı, pasaport gibi belgeler, vergi numarası, SGK numarası, imza vb. bilgiler)

İletişim Bilgisi: Telefon numarası, adres bilgisi, e-posta bilgisi

Özlük Bilgisi: Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi, özgeçmiş bilgileri vb.

Hukuki İşlem Bilgisi: Adli makamlarla yazışma bilgileri, dava dosyasındaki bilgiler

Müşteri İşlem Bilgisi: Fatura, senet, çek bilgileri, talep bilgisi, sipariş bilgisi vb.

İşlem Güvenliği Bilgisi: İnternet sitesi giriş-çıkış bilgileri, IP adres bilgileri, şifre ve parola bilgileri vb.

Fiziksel Mekân Güvenliği: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kamera kayıtları vb.

Finans Bilgisi: Banka hesap/Iban bilgisi, borç/alacak bilgisi vb.

Aile Bireyleri ve Yakını Bilgisi: İlgili kişinin aile bireyleri (anne, baba, çocuk, eş vb.), yakınları veya acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler

Görsel/İşitsel Bilgi: Fotoğraf, kamera/video kayıtları, ses kayıtları vb.

Pazarlama Bilgisi: Alışveriş geçmişi bilgileri, anketler, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler vb.

Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri​​​​​​​