THY Müşteri Doğrulama Süreci Aydınlatma Metni

  1. Giriş

Türk Hava Yolları Anonim Ortaklığı (“THY”, “Şirket” ya da “Biz” olarak anılacaktır) veri sorumlusu olarak, müşteri sadakat programı olan Miles&Smiles hesabı olan üyelerin (“Kullanıcı”) kişisel verilerinin hukuka uygun olarak işlenmesini son derece önemsemektedir. 

Bu “Türk Hava Yolları Müşteri Doğrulama Süreci Veri Koruma Aydınlatma Metni” (“Aydınlatma Metni”), üyelerin Miles&Smiles hesabında gerçekleştireceği işlemlerinde kimliklerinin doğrulanması amacıyla işlenecek kişisel verilerinin şeffaf biçimde işlenmesi için başta 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 10. Maddesi olmak üzere AB Genel Veri Koruma Tüzüğü’ne ((EU) 2016/679 sayılı Tüzük) (“GDPR”) uygun olarak hazırlanmıştır.

Kişisel verilerinizin işlenmesine ilişkin daha detaylı bilgi almak için tıklayınız. GDPR kapsamında daha detaylı bilgi almak için tıklayınız.

  1. Hangi Kişisel Verilerinizi İşliyoruz ve Kişisel Verilerinizi Nasıl Elde Ediyoruz?

THY tarafından işlenmekte olan kişisel verilerinize ilişkin genel bilgiler aşağıdaki gibidir:

  • Kimlik Doğrulama Bilgileri: Ad, soyadı, ünvanı, T.C Kimlik kartı ve/veya pasaport bilgisi (pasaport numarası ve görüntüleri,doğum tarihi, doğum yeri, imza, uyruk, anne adı, baba adı, vatandaşlık bilgisi, cinsiyet, evlenmeden önceki soy adı, kimlik seri numarası, kimlik sıra no., medeni durum, kimlik son geçerlilik tarihi), Miles&Smiles numarası,
  • Görsel Kayıtlar: Fotoğraf, kamera kayıtları,

Değerlendirmeleriniz ve talepleriniz: Kimlik doğrulama işlemlerine ilişkin olması durumunda, talep, şikâyet ve değerlendirme bilgileri,

  • Biyometrik Veri: Yüz tanıma bilgileri.

Kişisel verileriniz, yalnızca Kanun ve GDPR’da görülen şartlardan en az birinin bulunması halinde Miles&Smiles programı ile sunduğumuz hizmetler kapsamında THY mobil uygulama vasıtasıyla hesap güvenliğinizi sağlama amacıyla başta Kanun’un 4.maddesi ile GDPR 5. maddesindeki temel ilkeler olmak üzere ulusal ve uluslararası mevzuat hükümlerine uygun şekilde elde edilmektedir.

  1. Kişisel Verilerinizi Hangi Amaçlarla İşliyoruz?

Kişisel verileriniz;

  • Miles&Smiles hesabınızda gerçekleştireceğiz işlemlerin güvenliğini sağlamak ve sahte işlemlerin önlenmesi,
  • Kimlik doğrulama işlemlerine ilişkin işlemlere yönelik talep, şikâyetlerinizin değerlendirilmesi, teyit gerektiren süreçlerin otomatizasyonu,
  • Kullanıcı işlemlerinin hukuki ve teknik güvenliğinin temin edilmesi ve güvenlik amacıyla takibi,
  • Kullanıcı hesaplarında vuku bulacak sahte işlemlerin, usulsüzlük gibi durumların tespiti, hesap güvenliğinin temini,
  • Hesap işlem güvenliğine ilişkin iç denetim / soruşturma faaliyetlerinin yürütülmesi

amaçlarıyla işlenmektedir.

  1. Kişisel Verilerinizin İşlenmesinin Hukuki Dayanağı Nedir?

Kanun uyarınca, kişisel veriler ancak Kanun’un 5. ve 6. maddesinde, GDPR 6. maddesinde yer alan durumlarda ve/veya uluslararası mevzuat hükümlerinin gerektirdiği şartlarından en az birinin varlığı halinde işlenebilir.

  • Biyometrik veriniz, Kanun’un 5(1) ile GDPR 6(1)(a) maddeleri kapsamında, Miles&Smiles hesap işlemlerinizin güvenliğini sağlamak ve kimlik doğrulaması yapmak adına OCR ile kimlik görüntüsü alma ve NFC ile kimlik çipi okutma ve kimlik görüntüsü almasına yönelik açık rıza işleme şartına,
  • Diğer kişisel verileriniz, Kanun’un 5(2)(ç) ile GDPR 6(1)(c) maddeleri kapsamında Miles&Smiles hesabınızın doğrulama işlemlerine ilişkin talep ve şikayetlerinizin değerlendirilmesine yönelik hukuki yükümlülüğün yerine getirilmesi,
  • Kanun’un 5(2)(f) ile GDPR 6(1)(f) maddeleri kapsamında ve sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Kullanıcı hesaplarının güvenliğinden kaynaklı sorumluluğun yerine getirilmesine yönelik meşru menfaatlerimiz doğrultusunda gerekli olması işleme şartlarına dayanılarak işlenmektedir.
  1. Kişisel Verilerinizi Nasıl Koruyor ve Ne kadar Süre ile Saklıyoruz?

Kişisel verilerinizin kazaen kaybını, kullanılmasını, yetkisiz bir şekilde erişilmesini, değiştirilmesini veya ifşa edilmesini önlemek için gerekli tüm güvenlik tedbirlerini alıyoruz. Ayrıca, kişisel verilerinize Operasyonel gereklilik nedeniyle erişim sağlanmasının zaruri olması halinde çalışanlar, yükleniciler ile diğer üçüncü taraflara yalnızca, “bilmesi gerektiği kadar” prensibi çerçevesinde, sınırlı bir erişim yetkisi sağlıyoruz. Bu taraflar kişisel verilerinizi yalnızca özel talimatlarımıza bağlı olarak ve sır saklama yükümlülüğüne tabi şekilde işleyeceklerdir.

Herhangi bir veri ihlali halinde alınacak aksiyonlar için gerekli prosedürler hazırlanmış olup muhtemel bir kişisel veri ihlali halinde yasal gereklilikler doğrultusunda sizi ve ilgili otoriteyi bilgilendireceğimizi belirtmek isteriz.

Birçok farklı ülkeye operasyon gerçekleştiren global bir şirket olduğumuzdan muhtelif ülkelerin yasalarına göre değişiklik gösterebilecek hukuki saklama sürelerine tabiyiz. Bu çerçevede başta Türk hukuku olmak üzere Avrupa Hukuku ve yaşadığınız veya hukukuna tabi olduğunuz ülkenin mevzuatına (örneğin ABD, Almanya, İtalya, İspanya, İsviçre vb.) göre farklılık arz edebilecek veri saklama süreleri belirlenebilmektedir.  

Kişisel verileriniz, belirtilen amaçlar için veriye ihtiyaç kalmadığında ve hukuki saklama süreleri sona erdiğinde silinir.  Saklama süresine ilişkin için detaylı bilgilendirme için tıklayınız.

  1. Kişisel Verilerinizi Kimlere Hangi Amaçlarla Aktarıyoruz?

Tarafımızca işlenen kişisel verilerinizi yukarıda belirtilen amaçlar doğrultusunda yurt içindeki üçüncü taraflara başta Kanun’un 8. ve 9. maddeleri ile GDPR 44. maddesi olmak üzere ulusal ve uluslararası mevzuat hükümleri çerçevesinde aktarabilmekteyiz.

Verilerinizi aktarabileceğimiz üçüncü taraflar kategorik olarak şu şekildedir:

  • Grup şirketlerimiz, ör. THY tarafından sunulan hizmetlerin bir kısmı iştiraklerimiz (ör: THY Teknoloji ve Bilişim A.Ş.) vasıtasıyla gerçekleştirilmektedir, kişisel verileriniz bu kapsamda ilgili grup şirketlerimizle paylaşılabilmektedir. Grup şirketlerimize ilişkin daha detaylı bilgiye https://www.turkishairlines.com/tr-tr/basin-odasi/hakkimizda/ adresinden ulaşabilirsiniz.
  • Devlet yetkilileri ve/veya kolluk kuvvetleri: Kişisel verileriniz, yasaların gerektirmesi halinde veya uygulanabilir mevzuat çerçevesinde devam eden soruşturmalar kapsamında ve/veya gerekli olması halinde devlet yetkilileri ve/veya kolluk kuvvetleri, yürütme ve yargı organları ile (ör. idari ve adli makamlar) paylaşılabilir.
  1. İlgili Kişi Olarak Hangi Haklara Sahipsiniz?

Kanun’un 11. maddesi ve GDPR 15. ve devamı maddeleri uyarınca kişisel verilerinize ilişkin olarak pek çok hakka sahipsiniz. Bu bölümde sahip olduğunuz haklar ve bu hakları kullanma yöntemlerine ilişkin sizlere bilgi vermek istiyoruz.

Kanun’un 11. maddesi uyarınca sahip olduğunuz haklar şu şekildedir:

  • Kişisel verilerinizin tarafımızca işlenip işlenmediğini öğrenebilirsiniz,
  • Eğer kişisel verileriniz bizim tarafımızdan işlenmişse bizden buna ilişkin bilgi talep edebilirsiniz,
  • Kişisel verilerinizi hangi amaçlar için işlediğimizi ve kişisel verilerinizin bu amaçlara uygun şekilde kullanılıp kullanılmadığını öğrenebilirsiniz,
  • Kişisel verilerinizi yurt içinde veya yurt dışında aktardığımız üçüncü kişileri öğrenebilirsiniz,
  • Eğer kişisel verilerinizi eksik veya yanlış işlemişsek, bunların düzeltilmesini isteyebilir ve gerçekleştirilen bu düzeltmelerin kişisel verilerinizi aktarmış olduğumuz üçüncü taraflara da iletilmesini isteyebilirsiniz.
  • Kişisel verilerinizi Kanun’a ve ilgili diğer ulusal ve uluslararası mevzuat hükümlerine uygun olarak işlemiş olmamıza rağmen, kişisel verilerinizin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteyebilir ve bu kapsamda yapılan düzeltmelerin kişisel verilerinizi aktarmış olduğumuz üçüncü taraflara da iletilmesini isteyebilirsiniz.
  • İşlediğimiz verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması durumunda, meydana gelen bu sonuca itiraz edebilirsiniz.
  • Kişisel verilerinizin Kanun’a aykırı olarak işlenmesi sebebiyle herhangi bir zarara uğramanız hâlinde, hukuka aykırı veri işleme dolayısıyla doğan zararın giderilmesini talep edebilirsiniz.

GDPR düzenlemesine tabii iseniz haklarınızı öğrenmek için GDPR Privacy Notice sayfamızı ziyaret edebilirsiniz.

  1. Veri Sorumlusu Ve İletişim Bilgilerimiz

Yukarıda saymış olduğumuz haklarınızı kolayca kullanabilmeniz ve ilgili talepleri tarafımıza kolayca iletebilmeniz amacıyla bize aşağıdaki iletişim bilgilerimiz aracılığı ile ulaşabilirsiniz.

Size, başvurunuzun niteliğine göre en kısa sürede ve en geç otuz gün içinde cevap vereceğiz. Başvurularınız kural olarak ücretsiz cevaplandırılmaktadır; ancak ayrıca bir maliyet doğması halinde Kişisel Verileri Koruma Kurulunca belirlenecek tarifeye göre tarafınızdan ücret talep etme hakkımızı saklı tutmaktayız.

THY Genel Müdürlük: