Gizlilik ve Kişisel Verilerin Korunması Politikası

Türkiye Turizm Tanıtım ve Geliştirme Ajansı (“TGA”) olarak mahremiyetinize ve kişisel verilerinizin güvenliğine önem vermekteyiz. 15 Temmuz 2019 tarihinde kurulan TGA, Türkiye’nin iç ve dış turizm pazarında bir marka ve cazibe merkezi haline gelmesi, somut ve somut olmayan doğal, kültürel, biyolojik ve insan ürünü mirasların keşfedilmesi, geliştirilmesi ve tanıtılması, kısa, orta ve uzun vadeli iletişim/pazarlama çalışmalarıyla Türkiye turizm kapasitesi ve turizm yatırımlarının ülke ekonomisindeki payı ve hizmet kalitesinin arttırılması amacıyla çalışmalarını sürdürmektedir. Ajans, Kültür ve Turizm Bakanlığı’nca belirlenen turizm strateji ve politikaları doğrultusunda Türkiye’nin turizm hedeflerine ulaşması, mevcut turizm olanaklarının dünya çapında tanıtılması ve pazarlanması, potansiyel turizm olanaklarının ise keşfedilerek geliştirilmesi ve kazandırılmasına ilişkin olarak tüm tanıtım/pazarlama/iletişim faaliyetlerini yürütmektedir.

Bu bağlamda TGA tüm faaliyetlerini, Türkiye’nin uluslararası pazarda hedeflediği konumu kazanmasına katkıda bulunmak ve pekiştirmek, Türkiye’nin dünya çapında konuşulan bir marka haline gelmesini desteklemek, Türkiye’nin ağırladığı turist sayısını ve karlılığını arttırmak, turizm sektörü için potansiyel yatırım projelerinin uygulanmasını kolaylaştırıp kentlerin gelişimine katkı sağlamak için sürdürmektedir.

TGA, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) öngördüğü ilkeler kapsamında, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili Kanun’dan kaynaklı yükümlülüklerini yerine getirmektedir. İşbu Gizlilik ve Kişisel Verilerin Korunması Politikasında sizlere kişisel verilerin işlenmesi süreçlerine ilişkin bilgi vermeye ve sizleri en iyi şekilde bilgilendirmeye çalışacağız.

1. Kişisel Verileri Toplama Yöntemleri ve Hukuki Sebepleri

TGA, kişisel verileri çağrı merkezimiz, web sitelerimiz, sosyal medya hesaplarımız, e-posta, posta, CCTV, çerezler, faks, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak, KVK Kanunu’nda belirtilen kişisel veri işleme şartlarına uygun olarak toplamaktadır.

Kişisel verileriniz, TGA ile aranızdaki hukuki ilişkinin niteliğine göre (örneğin, çalışan, çalışan adayı, fiziksel ziyaretçi, çevrimiçi ziyaretçi, etkinlik katılımcısı, üye, iş çözüm ortağı / tedarikçi) farklı hukuki sebeplerle işlenmektedir. Keza, sürecin niteliğine göre de (örneğin, çağrı merkezi veya etkinlik süreçlerinde) farklı nitelikte kişisel veriyi toplamaktayız. Her işleme türü için dayandığımız hukuki sebebi, ilgili aydınlatma metninde sizlerle paylaşmaktayız.

Her işleme türü için dayandığımız hukuki sebebi, ilgili aydınlatma metninde sizlerle paylaşmaktayız.

• Çalışan Adayı Aydınlatma Metni
• Çalışan Aydınlatma Metni
• İş Ortağı ve Tedarikçi Aydınlatma Metni
• Etkinlik Aydınlatma Metni
• Ziyaretçi Aydınlatma Metni
• Çerez Politikası

2. Kişisel Verilerin Hangi Amaçlarla İşlendiği

TGA olarak tüm süreçlerimizde faaliyetlerin mevzuata uygun yürütülmesini temin etmek ve sizlere en iyi hizmeti vermeyi amaçlamaktayız. TGA, kişisel verilerini işlediği süreç ve kişisel verisi işlenen farklı kişi gruplarına göre farklı alt amaçlarla kişisel verileri işlemektedir. Her bir aydınlatma metninde, kişisel verilerin hangi amaçlarla işlendiği detaylı olarak yer almaktadır. Lütfen ilgili aydınlatma metinlerini referans alınız.

3. Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği

TGA , kişisel verilerinizi “bilme gereği” ve “kullanma gereği” ilkelerine uygun olarak, gerekli veri minimizasyonunu sağlayarak ve gerekli teknik ve idari güvenlik tedbirlerini alarak işlemeye özen göstermektedir. Lakin, iş faaliyetlerinin yürütülmesi veya denetimi, iş sürekliliğinin sağlanması, dijital altyapıların işletilmesi farklı paydaşlarla sürekli veri akışını zaruri kıldığı için işlediğimiz kişisel verileri belirli amaçlarla üçüncü kişilerle aktarmak durumundayız. Ayrıca, sözleşmesel ve kanuni yükümlülüklerini tam ve gereği gibi yerine getirebilmesi için kişisel verilerinizin doğru ve güncel olması çok önemlidir. Bunun için de muhtelif iş ortaklarıyla ve hizmet sağlayıcılarla çalışmak durumundayız. Her koşulda kişisel veri aktarımları, güvenli ortam ve kanallar aracılığıyla gerçekleştirilmektedir.

Kişisel verileriniz, işleme amacının gerektirdiği durumlarda ve sadece bununla sınırlı olarak şirket içi aktarılmakta, gerçek kişiler veya özel hukuk tüzel kişilerle, iş ortaklarıyla, tedarikçiler ile yetkili kamu kurum ve kuruluşlarıyla Kanun’da belirtilen kurallar çerçevesinde paylaşılmaktadır. Her bir aydınlatma metninde, kişisel verilerin hangi amaçlarla işlendiği ve hangi amaçlarla üçüncü kişilere aktarıldığı detaylı olarak yer almaktadır. Lütfen ilgili aydınlatma metinlerini referans alınız.

4. Kişisel Verilerin Güvenliğini Sağlamak Amacıyla Alınan Teknik ve İdari Tedbirler

TGA , kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir. Bu kapsamda, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için gerekli önlemleri almaktayız. TGA işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak aşağıdaki teknik ve idari tedbirleri almaktadır:

Anti-Virüs: TGA’nın bilgi teknolojileri altyapısında bulunan tüm PC ve Sunucularda periyodik olarak güncellenen anti-virüs uygulaması yüklüdür.

Firewall: TGA sunucularını barındıran veri merkezileri, periyodik olarak güncellenen yazılım yüklü firewalllarca korunmakta olup, ilgili yeni nesil firewalllar tüm personellerin internet bağlantılarını kontrol etmekte ve bu kontrol sırasında virüs ve benzeri tehditlere karşı koruma sağlamaktadır.

VPN: Şubelerimiz sunucu sistemlerine IP-SEC VPN ile bağlanmakta olup, 2 nokta arasındaki trafik şifreli bir şekilde iletilmektedir.

Kullanıcı Tanımlamaları ve Need to Know: TGA ve çalışanlarının TGA sistemlerine olan yetkileri sadece iş tanımları ile gerekli olduğu ölçüde sınırlandırılmış olup, herhangi bir yetki ve görev değişikliği söz konusu olması durumunda sistemsel yetkileri de ivedi olarak güncellenmektedir. Tüm çalışanlarla ayrıca kapsamlı Bilgi Güvenliği ve Gizlilik Sözleşmesi yapılmıştır.

Bilgi güvenliği Tehdit ve Olay Yönetimi: TGA sunucularında ve güvenlik duvarlarında oluşan olaylar “Bilgi Güvenliği Tehdit ve Olay Yönetimi” sistemine aktarılmaktadır. Bu sistem güvenlik tehdidi oluştuğunda sorumlu personelleri uyarmakta ve ivedi bir şekilde tehdide cevap verilmesi imkânı sağlamaktadır.

SSL: Kişisel verilerin alındığı web sitesindeki tüm alanlar SSL ile korur.

Sızma Testi: Periyodik olarak TGA sistemindeki sunuculara, bilgisayarlarına ve örnek bir uygulamaya sızma testi manuel olarak tedarikçi bir firma tarafından yapılmaktadır. Bu test sonucunda oluşan güvenlik açıkları kapatılarak, ilgili güvenlik açıklarının kapatıldığına dair doğrulama testi yapılmaktadır.

Eğitim Portalı: TGA çalışanlarının çeşitli bilgi güvenliği ihlallerine karşı farkındalıklarını artırmak ve bilgi ihlali olaylarında insan faktörünün etkisini en aza indirmek için Eğitim Portalı aktif olarak kullanılmaktadır. Tüm çalışanlar farklı muhteviyatta kişisel verilerin korunması ve bilgi güvenliği eğitimi almaktadırlar.

Temiz Masa Prensibi: TGA iç kuralları uyarınca merkez ve şube çalışanları temiz masa prensibine uymakla yükümlüdür. Kağıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlanır.

TGA’nın gerekli bilgi güvenliği önlemlerini almasına karşın, TGA tarafından işletilen platformlara veya TGA sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, TGA bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir ve gerekli önlemleri alır.

5.Kişisel Verilerin Saklanması ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Şartları

TGA işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak muhafaza eder. Kişisel Verilerin Saklanması ve İmhası Politikasında bu süreler detaylı olarak belirlenmiştir.

TGA , iş süreçleri kapsamında fiziki, elektronik, web sitesi, e-posta gibi kanallardan toplayarak işlediği kişisel verileri, Kanun Madde 7, 17 ve Türk Ceza Kanunu Madde 138 uyarınca ilgili kanunların öngördüğü süreler ve/veya işleme amacının gerekli kıldığı süreler boyunca saklamaktadır. Bu sürelerin sona ermesi durumunda ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi uyarınca silecek, yok edecek veya anonim hale getirecektir.

TGA , Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığımız Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında silme, yok etme ve anonim hale getirmeye ilişkin yöntemleri ve aldığı teknik ve idari tedbirleri ayrıntılı olarak yer almaktadır.

6.İlgili Kişilerin Kişisel Verileri Üzerindeki Haklarının Neler Olduğunu ve Bu Hakları Nasıl Kullanabilecekleri

Kişisel verileri işlenen ilgili kişiler, kişisel veri işlenip işlenmediğini öğrenme; kişisel verileri işlenmişse buna ilişkin bilgi talep etme; kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme; yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme; kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme; KVK Kanunu 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme; (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme; işlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme; kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir. Kişisel verileriniz üzerindeki haklarınızı kullanmak amacıyla; TGA web sitesinden erişebileceğiniz İlgili Kişi Başvuru Formu, TGA resmi e-mail adresi [email protected] veya resmi telefon hattı olan “0212 970 98 99” numarası üzerinden gerekli değişiklik, güncelleme ve/veya silme gibi işlemleri ve ilgili talepleri gerçekleştirebilirsiniz.