logo

KVKK

KİŞİSEL VERİ AYDINLATMA METNİ

Yayın Tarihi: 14.04.2023
Doküman No: KVYS.FR.04
Revizyon No/Tar.: 2 / 16.07.2025

“Bu doküman, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.”

1. Veri Sorumlusunun Kimliği

07.04.2016 tarihinde 6698 sayılı "Kişisel Verilerin Korunması Kanunu" yürürlüğe girmiştir. Söz konusu kanun kapsamında ERKA Etkinlik ve Turizm A.Ş. "Veri Sorumlusu" sıfatına sahiptir ve bu sıfatın gerektirdiği yükümlülükleri yerine getirmek için azami özeni göstermektedir.

Bu aydınlatma metni; müşterilerimizin, ziyaretçilerimizin ve tedarikçilerimizin kişisel verilerinin işlenmesine ilişkin süreçler hakkında bilgilendirme amacıyla hazırlanmıştır.

2. İşlenen Kişisel Veriler ve İşlenme Amaçları

MÜŞTERİLER

İşlenen Veriler İşleme Amaçları
Kimlik Bilgileri (Ad-Soyadı, Kimlik ve Pasaport Bilgileri, Doğum Tarihi, Doğum Yeri, Pasaport Numarası, TC Kimlik Numarası) Rezervasyon ve seyahat hizmetlerinin sunulması
İletişim Bilgileri (Adres, E-posta, Telefon / Cep Telefonu) Uçak bileti, otel, transfer vb. hizmetlerin organizasyonu
Görsel ve İşitsel Kayıtlar Müşteri ilişkileri yönetimi ve faaliyetlerinin yürütülmesi
Finansal Bilgi (ödeme bilgileri ve diğer finansal bilgiler) Kimlik bildirme kanunu ve diğer yasal yükümlülüklerin yerine getirilmesi
Müşteri İşlem Bilgisi Müşterilerle seyahat avantajları ve aldıkları hizmet ile ilgili iletişime geçilebilmesi
Pazarlama Bilgisi Anlaşmalı olunan kurumlarla, size sunulan hizmetlere ilişkin faaliyetlerin yerine getirilebilmesi
Lokasyon Bilgisi Yasal ve düzenleyici gereksinimlerin yerine getirilmesi

Ürün ve hizmetlerimizin geliştirilmesi, analiz ve raporlama yapılması, müşteri ilişkilerinin yönetilmesi, kampanya ve bilgilendirme amaçlı iletişim faaliyetlerinin yürütülmesi ile pazarlama süreçlerinin kişiye özel şekilde planlanması amacıyla yukarıdaki veriler işlenebilir. Rezervasyon ve uçuş bilgileri, sigorta bilgileri, araç kiralama ve otel rezervasyon bilgileri, fatura bilgileri, müşteri hizmetleri puanı, çağrı merkezi kayıtları gibi kayıtlar da işlenebilmektedir.

ZİYARETÇİLER VE TEDARİKÇİLER

İşlenen Veriler İşlenme Amaçları
Ad Soyad Fiziksel mekan güvenliğinin sağlanması
Kamera Görüntü Kayıtları (ofis çevresi ve ortak alanlar) Ziyaretçi ve tedarikçi takibinin yapılması
Giriş Kaydı Gerekli durumlarda resmi makamlarla bilgi paylaşımı

3. Kişisel Verilerin Toplama Yöntemi ve Hukuki Sebep

Kişisel verileriniz; sözlü, yazılı ya da dijital yollarla, otomatik veya otomatik olmayan yöntemlerle toplanmaktadır. Kişisel verileriniz, şirketin akdi ve kanuni yükümlülüklerini yerine getirebilmesi için toplanmakta ve işlenmektedir.

6698 sayılı KVKK m.5 uyarınca kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki hallerde açık rıza aranmaksızın işleme yapılabilir:

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

4. Kişisel Verilerin Aktarımı

Toplanan kişisel verileriniz, KVKK’nın 8. ve 9. maddelerine uygun olarak, işleme amacına bağlı olarak aşağıdaki taraflara aktarılabilir:

  • Otel, havayolu ve diğer turizm iş ortakları
  • Adli makamlar veya denetim organları
  • Destek hizmeti sunan üçüncü taraf firmalar (örneğin yazılım, IT altyapısı)
  • TÜRSAB
  • İlgili Bakanlıklar dâhil, denetleyici ve düzenleyici kamu kurum ve kuruluşları
  • Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri
  • Mahkemeler
  • Avukatlar, danışmanlar ve denetimciler
  • Yetkili temsilci ve acenteler
  • Sigorta şirketleri

5. Yurtdışına Veri Aktarımı

Bazı hizmet süreçlerinde kullanılan bulut tabanlı sistemler yurtdışında yerleşik sunucular üzerinde çalışmaktadır. Bu aktarım, Kişisel Verileri Koruma Kurulu tarafından onaylanmış ve noter tasdikli "standart sözleşmeler" kapsamında gerçekleştirilmektedir; bu durumda müşteriden açık rıza alınmasına gerek bulunmamaktadır.

6. Özel Nitelikli Kişisel Verilere İlişkin Bilgilendirme

Şirketimiz müşterilerinden özel nitelikli kişisel veriler (örneğin sağlık bilgisi, kan grubu, engel durumu gibi) talep etmemektedir. Ancak bazı durumlarda müşterilerimiz tarafından sağlık raporu veya benzeri belgeler talep doğrultusunda e-posta ile iletilebilir; bu hallerde söz konusu veriler işlenmeden derhal silinmekte ve imha edilmektedir. Lütfen özel nitelikli kişisel verilerinizi bizimle paylaşmayınız.

7. Kişisel Verilerin Korunmasına Yönelik Haklarınız

Kişisel veri sahibi olarak, taleplerinizi aşağıda düzenlenen yöntemlerle şirkete iletmeniz durumunda talebin niteliğine göre KVKK’nın 13. maddesinin 2. fıkrası uyarınca en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin maliyet gerektirmesi halinde Kurulca belirlenen tarifedeki ücret alınabilir.

Haklarınız şunlardır:

  • Kişisel veri işlenip işlenmediğini öğrenme
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
  • Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme
  • İşlenmesini gerektiren sebepler ortadan kalkmışsa silinmesini veya yok edilmesini isteme
  • Açık rıza verilmişse rızayı geri alma
  • Otomatik sistemlerle analiz edilmesi suretiyle kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme
  • Kanuna aykırı işlenme sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

8. Veri Güvenliği ve Başvuru Hakkı

KVKK kapsamındaki haklarınızı kullanmak için "Veri Sahibi Başvuru Formu"nu doldurarak [email protected] adresine e-posta gönderebilir veya yazılı olarak şirketimize başvuruda bulunabilirsiniz.

Doküman No: KVYS.FR.04 — Yayın Tarihi: 14.04.2023 — Revizyon: 2 / 16.07.2025

Kişisel Verilerin İşlenmesi ve Korunması Politikası

Kişisel Verilerin İşlenmesi ve Korunması Politikası

KVYS.POL.01 Kişisel Verilerin İşlenmesi ve Korunması Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 1 KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI Yayın Tarihi 14.04.2023 Doküman No KVYS.POL.01 Revizyon No/Tar. 2 / 16.07.2025 1. AMAÇ Bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, Erka Etkinlik ve Turizm A.Ş. tarafından kişisel verilerin işlenmesinde uyulması gereken ilkeleri, veri güvenliği önlemlerini ve ilgili kişilerin haklarını düzenlemek amacıyla hazırlanmıştır. 2. KAPSAM Bu politika yalnızca Erka Etkinlik ve Turizm A.Ş.’nin müşterileri, tedarikçileri ve ofis ziyaretçilerini kapsar. Şirket çalışanları bu politika kapsamı dışındadır. 3.VERİ SORUMLUSU Veri Sorumlusu: Erka Etkinlik ve Turizm A.Ş. Adres: Rüzgârlıbahçe Mah. Şehit Sinan Eroğlu Cad. K Binası No: 3 Kat: 1 34805 Beykoz / İstanbul E-posta Adresi: [email protected] 4. İŞLENEN KİŞİSEL VERİLER VE İŞLENME AMAÇLARI MÜŞTERİLER İşlenen Veriler İşleme Amaçları Kimlik Bilgileri (Ad-Soyadı, Kimlik ve Pasaport Bilgileri, Doğum Tarihi, Doğum Yeri, Pasaport Numarası, TC Kimlik Numarası) Rezervasyon ve seyahat hizmetlerinin sunulması İletişim Bilgileri (Adres, E-posta, Telefon / Cep Telefonu) Uçak bileti, otel, transfer vb. hizmetlerin organizasyonu Görsel ve İşitsel Kayıtlar Müşteri ilişkileri yönetimi ve faaliyetlerinin yürütülmesi Finansal Bilgi (ödeme bilgileri ve diğer finansal bilgiler) Kimlik bildirme kanunu ve diğer yasal yükümlülüklerin yerine getirilmesi Müşteri İşlem Bilgisi Müşterilerle seyahat avantajları ve aldıkları hizmet ile ilgili iletişime geçilebilmesi Pazarlama Bilgisi Anlaşmalı olunan kurumlarla, size sunulan hizmetlere ilişkin faaliyetlerin yerine getirilebilmesi Lokasyon Bilgisi Yasal ve düzenleyici gereksinimlerin yerine getirilebilmesi Fiziksel Mekan Güvenliği Hizmetlerimiz karşılığında faturalandırma yapılabilmesi Seyahat kapsamındaki sigorta işlemlerinizin gerçekleştirilebilmesi Konsolosluklara sunulmak amacıyla vize başvurularınızın yürütülebilmesi Ürün ve hizmetlerimizin geliştirilmesi, analiz ve

KVYS.POL.01 Kişisel Verilerin İşlenmesi ve Korunması Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 2 raporlama yapılması, müşteri ilişkilerinin yönetilmesi, gelecekteki taleplerin değerlendirilmesi, kampanya ve bilgilendirme amaçlı iletişim faaliyetlerinin yürütülmesi ile pazarlama süreçlerinin kişiye özel şekilde planlanması amacıyla işlenebilir. Rezervasyon ve uçuş bilgileri, sigorta bilgileri, araç kiralama ve otel rezervasyon bilgileri, fatura bilgileri, müşteri hizmetleri puanı, kişiyle ilişkilendirilen bir talimat ve talebe bağlı CDR (call detail record), çağrı merkezi kayıtları, müşteri talimatları, buna yönelik kanallarda kaydedilen kayıtlar vb. ZİYARETÇİLER VE TEDARİKÇİLER İşlenen Veriler İşlenme Amaçları Ad Soyad Fiziksel mekan güvenliğinin sağlanması Kamera Görüntü Kayıtları (ofis çevresi ve ortak alanlar) Ziyaretçi ve tedarikçi takibinin yapılması Giriş Kaydı Gerekli durumlarda resmi makamlarla bilgi paylaşımı 5. KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEP Kişisel verileriniz; sözlü, yazılı ya da dijital yollarla, otomatik veya otomatik olmayan yöntemlerle toplanmaktadır. Kişisel verilerinizi sizlere yüksek standartlarda hizmet sunabilmek amacıyla yukarıda yer verilen amaçlar ve şirketin faaliyet konusuna dahil her türlü işin yasal çerçevede yürütülebilmesi ve bu kapsamda şirketin akdi ve kanuni yükümlülüklerini tam ve gereği gibi ifa edilebilmesi için toplanmakta ve işlenmektedir. Kişisel verilerin işlenme şartları başlığını taşıyan 6698 sayılı KVKK. m.5’e göre, kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: -Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 6. KİŞİSEL VERİLERİN AKTARIMI Toplanan kişisel verileriniz, KVKK’nın 8. ve 9. maddelerine uygun olarak, işleme amacına bağlı olarak aşağıdaki taraflara aktarılabilir: ● Otel, havayolu ve diğer turizm iş ortakları ● Adli makamlar veya denetim organları

KVYS.POL.01 Kişisel Verilerin İşlenmesi ve Korunması Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 3 ● Destek hizmeti sunan üçüncü taraf firmalar (örneğin yazılım, IT altyapısı) ● TÜRSAB ● İlgili Bakanlıklar dâhil, denetleyici ve düzenleyici kamu kurum ve kuruluşları ● Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, ● Mahkemeler ● Avukatlar, danışmanlar ve denetimciler dâhil olmak üzere danışmanlık hizmeti aldığımız üçüncü kişiler ● Yetkili temsilci ve acenteler ● Sigorta şirketleri 7. YURT DIŞINA VERİ AKTARIMI Bazı hizmet süreçlerinde kullanılan bulut tabanlı sistemler (örneğin e-posta ve rezervasyon sistemleri) yurtdışında yerleşik sunucular üzerinde çalışmaktadır. Bu aktarım, Kişisel Verileri Koruma Kurulu tarafından onaylanmış ve noter tasdikli “standart sözleşmeler” kapsamında gerçekleştirilmekte olup, müşteri, ziyaretçi ve tedarikçilerden açık rıza alınmasına gerek bulunmamaktadır. 8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN BİLGİLENDİRME Şirketimiz, müşterilerinden özel nitelikli kişisel veriler (örneğin sağlık bilgisi, kan grubu, engel durumu gibi) talep etmemektedir. Ancak bazı durumlarda, müşterilerimiz tarafından kendi istekleriyle tatil iptal veya erteleme talepleri kapsamında sağlık raporu veya benzeri belgeler e-posta yoluyla iletilebilmektedir. Bu gibi hallerde, söz konusu veriler tarafımızca işlenmeden, derhal silinmekte ve imha edilmektedir. Bu nedenle, özel nitelikli kişisel verilerinizi lütfen bizimle e-posta, mesaj, form veya diğer yollarla paylaşmayınız. 9. VERİ GÜVENLİĞİ ÖNLEMLERİ 9.1 Teknik Tedbirler ● Sızma testleri ile şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. ● Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. ● Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki formları ile bilgi güvenliği politikaları aracılığı ile yapılmaktadır. ● Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal (güvenlik duvarı, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. ● Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. ● Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. ● Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. ● Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. ● Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez olması için gerekli tedbirleri almaktadır. ● Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve KVKK Kurulu’na bildirmek için şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur. ● Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. ● Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. ● Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır. ● Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. ● Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.

KVYS.POL.01 Kişisel Verilerin İşlenmesi ve Korunması Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 4 9.2 İdari Tedbirler ● Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır. ● Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır. ● Kişisel veri işleme envanteri hazırlanmıştır. ● Kurum içi periyodik ve rastgele denetimler yapılmaktadır. ● Tüm çalışanlara yılda en az 1 kez KVKK ve bilgi güvenliği farkındalık eğitimi verilir. Eğitimler kayıt altına alınır ve eğitim sonrasında değerlendirme testi yapılır. ● Her çalışanın yalnızca görev alanıyla sınırlı verilere erişimi sağlanır. Erişim yetkileri düzenli aralıklarla gözden geçirilir. 10. KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HAKLARINIZ Kişisel veri sahibi olarak, haklarınıza ilişkin taleplerinizi aşağıda düzenlenen yöntemlerle şirkete iletmeniz durumunda talebin niteliğine göre talebi 6698 sayılı KVKK’nın 13. maddesinin 2. fıkrası uyarınca en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, şirket tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınabilecektir. Bu kapsamda kişisel veri sahipleri; ● Kişisel veri işlenip işlenmediğini öğrenme, ● Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, ● Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ● Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, ● Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, ● 6698 sayılı KVKK’nın ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, ● Açık rıza vermeniz durumunda her zaman geri alabilme, ● İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ● Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir. ● KVKK kapsamındaki haklarınızı kullanmak için “Veri Sahibi Başvuru Formu”nu doldurarak, [email protected] adresine e-posta gönderebilir veya yazılı olarak şirketimize başvuruda bulunabilirsiniz.

Kişisel Verilerin Saklanması ve İmha Politikası

Kişisel Verilerin Saklanması ve İmha Politikası

KVYS.POL.02 Kişisel Verilerin Saklanması ve İmha Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 1 KİŞİSEL VERİLERİN SAKLANMASI VE İMHA POLİTİKASI Yayın Tarihi 14.04.2023 Doküman No KVYS.POL.02 Revizyon No/Tar. 2 / 16.07.2025 1. AMAÇ Bu politikanın amacı, Erka Etkinlik ve Turizm A.Ş. tarafından işlenen kişisel verilerin, ilgili mevzuata uygun olarak saklanmasını, muhafazasını ve süresi sona eren kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini sağlamaktır. 2. KAPSAM Bu politika yalnızca Erka Etkinlik ve Turizm A.Ş.’nin müşterileri, tedarikçileri ve ofis ziyaretçilerini kapsar. Şirket çalışanları bu politika kapsamı dışındadır. 3.VERİ SORUMLUSU Veri Sorumlusu: Erka Etkinlik ve Turizm A.Ş. Adres: Rüzgârlıbahçe Mah. Şehit Sinan Eroğlu Cad. K Binası No: 3 Kat: 1 34805 Beykoz / İstanbul E-posta Adresi: [email protected] 4. KİŞİSEL VERİ SAKLAMA ORTAMLARI Kişisel veriler, Erka Etkinlik ve Turizm A.Ş. tarafından aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır. Elektronik Ortamlar Elektronik Olmayan Ortamlar Sunucular Kağıt Veritabanı Yazılı, basılı, görsel ortamlar Bilgisayarlar Mobil cihazlar Kamera kayıt cihazları Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, antivirus vb.) 5. SAKLANAN VERİLER VE SAKLAMA AMAÇLARI MÜŞTERİLER İşlenen Veriler İşleme Amaçları Kimlik Bilgileri (Ad-Soyadı, Kimlik ve Pasaport Bilgileri, Doğum Tarihi, Doğum Yeri, Pasaport Numarası, TC Kimlik Numarası) Rezervasyon ve seyahat hizmetlerinin sunulması İletişim Bilgileri (Adres, E-posta, Telefon / Cep Telefonu) Uçak bileti, otel, transfer vb. hizmetlerin organizasyonu

KVYS.POL.02 Kişisel Verilerin Saklanması ve İmha Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 2 Görsel ve İşitsel Kayıtlar Müşteri ilişkileri yönetimi ve faaliyetlerinin yürütülmesi Finansal Bilgi (ödeme bilgileri ve diğer finansal bilgiler) Kimlik bildirme kanunu ve diğer yasal yükümlülüklerin yerine getirilmesi Müşteri İşlem Bilgisi Müşterilerle seyahat avantajları ve aldıkları hizmet ile ilgili iletişime geçilebilmesi Pazarlama Bilgisi Anlaşmalı olunan kurumlarla, size sunulan hizmetlere ilişkin faaliyetlerin yerine getirilebilmesi Lokasyon Bilgisi Yasal ve düzenleyici gereksinimlerin yerine getirilebilmesi Fiziksel Mekan Güvenliği Hizmetlerimiz karşılığında faturalandırma yapılabilmesi Seyahat kapsamındaki sigorta işlemlerinizin gerçekleştirilebilmesi Konsolosluklara sunulmak amacıyla vize başvurularınızın yürütülebilmesi Ürün ve hizmetlerimizin geliştirilmesi, analiz ve raporlama yapılması, müşteri ilişkilerinin yönetilmesi, gelecekteki taleplerin değerlendirilmesi, kampanya ve bilgilendirme amaçlı iletişim faaliyetlerinin yürütülmesi ile pazarlama süreçlerinin kişiye özel şekilde planlanması amacıyla işlenebilir. Rezervasyon ve uçuş bilgileri, sigorta bilgileri, araç kiralama ve otel rezervasyon bilgileri, fatura bilgileri, müşteri hizmetleri puanı, kişiyle ilişkilendirilen bir talimat ve talebe bağlı CDR (call detail record), çağrı merkezi kayıtları, müşteri talimatları, buna yönelik kanallarda kaydedilen kayıtlar vb. ZİYARETÇİLER VE TEDARİKÇİLER İşlenen Veriler İşlenme Amaçları Ad Soyad Fiziksel mekan güvenliğinin sağlanması Kamera Görüntü Kayıtları (ofis çevresi ve ortak alanlar) Ziyaretçi ve tedarikçi takibinin yapılması Giriş Kaydı Gerekli durumlarda resmi makamlarla bilgi paylaşımı 6. İMHAYI GEREKTİREN SEBEPLER Kişisel veriler; ● İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi, ● İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, ● Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

KVYS.POL.02 Kişisel Verilerin Saklanması ve İmha Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 3 ● Kanun ‘un 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Erka Etkinlik ve Turizm A.Ş. tarafından kabul edilmesi, ● Erka Etkinlik ve Turizm A.Ş. ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılanbaşvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, ● Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, Erka Etkinlik ve Turizm A.Ş. tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir. 7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ 7.1 Kişisel Verilerin Silinmesi Veri Kayıt Ortamı Açıklama Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Operasyonel süreçlerde dosyası sonuçlanarak tamamlanmış kişisel veri ortamları sadece yetki verilmiş yöneticinin erişim sağlayacağı şekilde silinir. Elektronik Olmayan Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Operasyonel süreçlerde dosyası sonuçlanarak tamamlanmış kişisel veri ortamları sadece yetki verilmiş yöneticinin erişim sağlayacağı şekilde silinir. 7.2 Kişisel Verilerin Yok Edilmesi Veri Kayıt Ortamı Açıklama Elektronik Ortamda Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler geri döndürülemeyecek şekilde fiziksel olarak okunamaz hale getirilir. Elektronik Olmayan Ortamda Yer Alan Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. 7.3 Kişisel Verilerin Anonim Hale Getirilmesi Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

KVYS.POL.02 Kişisel Verilerin Saklanması ve İmha Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 4 Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmektedir. 8. SAKLAMA VE İMHA SÜRELERİ Veri Saklama Süresi İmha Süresi Ad Soyad 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde TC Kimlik Numarası / Pasaport Numarası 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Pasaport ve Kimlik Bilgileri 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Telefon Numarası 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde E-posta Adresi 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Adres Bilgisi 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Görsel ve İşitsel Kayıtlar 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Finans Bilgileri 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde Yönetmeliğin 11 inci maddesi gereğince şirketimiz,, periyodik imha süresini 6 ay olarak belirlemiştir. 9. VERİ GÜVENLİĞİ ÖNLEMLERİ Erka Etkinlik ve Turizm A.Ş. , kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. ● KVKK’nın 12. Maddesinin 1. bendinde öngörülen; ● Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, ● Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, ● Kişisel verilerin muhafazasını sağlamak. ● Sartları sağlamak adına gerekli tedbirlerini almaktadır. Erka Etkinlik ve Turizm A.Ş.’nin kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır: 9.1 Teknik Tedbirler ● Sızma testleri ile şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

KVYS.POL.02 Kişisel Verilerin Saklanması ve İmha Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 5 ● Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. ● Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki formları ile bilgi güvenliği politikaları aracılığı ile yapılmaktadır. ● Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. ● Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. ● Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. ● Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. ● Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. ● Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve KVKK Kurulu’na bildirmek için şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur. ● Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. ● Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. ● Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır. ● Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. ● Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır. 9.2 İdari Tedbirler ● Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır. ● Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır. ● Kişisel veri işleme envanteri hazırlanmıştır. ● Kurum içi periyodik ve rastgele denetimler yapılmaktadır. ● Tüm çalışanlara yılda en az 1 kez KVKK ve bilgi güvenliği farkındalık eğitimi verilir. Eğitimler kayıt altına alınır ve eğitim sonrasında değerlendirme testi yapılır. ● Her çalışanın yalnızca görev alanıyla sınırlı verilere erişimi sağlanır. Erişim yetkileri düzenli aralıklarla gözden geçirilir. 10. KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEP Kişisel verileriniz; sözlü, yazılı ya da dijital yollarla, otomatik veya otomatik olmayan yöntemlerle toplanmaktadır. Kişisel verilerinizi sizlere yüksek standartlarda hizmet sunabilmek amacıyla yukarıda yer verilen amaçlar ve şirketin faaliyet konusuna dahil her türlü işin yasal çerçevede yürütülebilmesi ve bu kapsamda şirketin akdi ve kanuni yükümlülüklerini tam ve gereği gibi ifa edilebilmesi için toplanmakta ve işlenmektedir. Kişisel verilerin işlenme şartları başlığını taşıyan 6698 sayılı KVKK. m.5’e göre, kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: -Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 11. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN BİLGİLENDİRME

KVYS.POL.02 Kişisel Verilerin Saklanması ve İmha Politikası “Bu politika, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 6 Şirketimiz, müşterilerinden özel nitelikli kişisel veriler (örneğin sağlık bilgisi, kan grubu, engel durumu gibi) talep etmemektedir. Ancak bazı durumlarda, müşterilerimiz tarafından kendi istekleriyle tatil iptal veya erteleme talepleri kapsamında sağlık raporu veya benzeri belgeler e-posta yoluyla iletilebilmektedir. Bu gibi hallerde, söz konusu veriler tarafımızca işlenmeden, derhal silinmekte ve imha edilmektedir. Bu nedenle, özel nitelikli kişisel verilerinizi lütfen bizimle e-posta, mesaj, form veya diğer yollarla paylaşmayınız.

Veri Sahibi Başvuru Formu 
 KVYS.FR.03 Veri Sahibi Başvuru Formu    “Bu form, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 1     VERİ SAHİBİ BAŞVURU FORMU Yayın Tarihi 14.04.2023 Doküman No KVYS.FR.03 Revizyon No/Tar. 2 / 16.07.2025   1. Başvuru Yöntemi  6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 11. maddesinde sayılan haklarınız kapsamındaki taleplerinizi, Kanun’un 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. maddesi gereğince, işbu form ile aşağıda açıklanan dört yöntemden biriyle başvurunuzu Şirketimize iletebilirsiniz.   BAŞVURU YÖNTEMİ BAŞVURU YAPILACAK ADRES AÇIKLAMA a) Yazılı Olarak Başvuru Başvuru sahibinin şahsen başvurusu ile,  Noter Vasıtası ile Rüzgârlıbahçe Mah. Şehit Sinan Eroğlu Cad. K Binası No: 3 Kat: 1 34805 Beykoz / İstanbul  Zarfın/tebligatın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. b) Sistemimizde Bulunan Elektronik Posta Adresi ile Başvuru Şirketimizin sisteminde kayıtlı bulunan elektronik posta adresiniz kullanılmak suretiyle   [email protected] E-posta’nın konu kısmına ‘KVKK Bilgi Talebi’ yazılmalıdır.   2. Kimlik ve İletişim Bilgileriniz  Lütfen sizinle iletişime geçebilmemiz ve kimliğinizi doğrulayabilmemiz adına aşağıdaki alanları doldurunuz.   Ad Soyad:  TC Kimlik Numarası / Diğer Ülke Vatandaşları İçin Pasaport Numarası:  Tebligata Esas Yerleşim Yeri Adresi:  Cep Telefonu Numarası:  Telefon Numarası:  E-Posta Adresi:   3. Şirketimiz İle İlişkiniz   Müşteri  Çalışan  Ziyaretçi  Diğer (belirtiniz)

   KVYS.FR.03 Veri Sahibi Başvuru Formu    “Bu form, kamuya açık olarak yayımlanmıştır ve düzenli aralıklarla güncellenmektedir.” 2      4. Talep Konusu
   5. Lütfen Yanıtın Tarafınıza İletilme Yöntemini Seçiniz   Adresime posta yoluyla gönderilsin.   E-posta adresime gönderilsin.    Yukarıda belirttiğim talepler doğrultusunda, Şirketinize yapmış olduğum başvurumun Kanun’un 13. maddesi uyarınca değerlendirilerek tarafıma bilgi verilmesini rica ederim.   İşbu başvuruda tarafınıza sağlamış olduğum bilgi ve belgelerimin doğru ve güncel olduğunu, Şirketinizin başvurumu sonuçlandırabilmek adına ilave bilgi talep edebileceğini ve ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen ücreti ödemem gerekebileceği hususunda aydınlatıldığımı beyan ve taahhüt ederim.  Bu form, Şirketimizle olan ilişkinizi belirlemek ve işlenen kişisel verilerinize ilişkin taleplerinize zamanında ve doğru şekilde yanıt verebilmek amacıyla hazırlanmıştır. Başvurunuzun işleme alınabilmesi için kimliğinizin doğrulanması gerekebilir. Bu nedenle Şirketimiz, ek bilgi veya belge talep etme hakkını saklı tutar. Formda verdiğiniz bilgilerin eksik, hatalı veya güncel olmaması ya da yetkisiz başvuru yapılması halinde Şirketimiz, doğabilecek sonuçlardan sorumluluk kabul etmez.     Başvuruda Bulunan İlgili Kişi (Veri Sahibi)  Adı Soyadı             : Başvuru Tarihi    : İmza                           : Lütfen kişisel verilerinizle ilgili talebinizi mümkün olduğunca açık ve detaylı şekilde yazınız. Talebinizi destekleyen belge varsa eklemeyi unutmayınız.