Hizmet Sağlayıcı Veri Koruma Standartları (HSVKS)

 

Son Güncelleme: Mart 2018.

Hilton olarak bizler müşterilerimiz, çalışanlarımız, bağımsız yüklenicilerimiz ve hizmet sağlayıcılarımız ile ilgili Kişisel Bilgilerin korunmasını çok ciddiye alıyoruz. Bir Delaware şirketi olan Hilton Domestic Operating Company Inc.’e veya doğrudan veya dolaylı iştiraklerine, sahip olduğu ve yönettiği otellere, ortaklıklara veya ortak girişimlere (münferiden ve müştereken “Hilton” olarak anılacaktır) veya acenteleri (franchise) yararına Hilton aracılığıyla mal veya hizmet sağlayan tüm kişi veya kuruluşlar, bu Hizmet Sağlayıcı Veri Koruma Standartlarında (“Standartlar”) belirtilen esaslara uymak zorundadır. Bu Standartlar, Hilton ile Sağlayıcı arasında akdedilen ve bu Standartlara atıfta bulunan veya bu Standartların eklendiği veya dâhil edildiği her tür sözleşmenin (“Sözleşme”) parçasını teşkil eder. Bu Standartlar ile Sözleşme arasında bir çelişki olması durumunda, Sözleşmede daha katı standartlar öngörülmedikçe, konusu bakımından bu Standartlar geçerli olacaktır.

  1. TANIMLAR

     

    1. “Biyometrik Veriler”, bir kişinin benzersiz kimliğinin tespitine olanak sağlayan veya teyit eden fiziksel, fizyolojik veya davranışsal özelliklerinin özel teknik işlenmesiyle elde edilen Kişisel Bilgileri ifade eder.
    2. “Kart Sahibi Verileri”, (i) bir ödeme kartıyla ilgili olarak, hesap sahibinin adı, hesap numarası, güvenlik kodları, kart doğrulama kodu/değeri, hizmet kodları (yani, manyetik şerit üzerinde bulunan ve kabul şartlarını ve manyetik şerit okuma işlemi sınırlamalarını belirleyen üç veya dört haneli numara), PIN veya PIN bloku, geçerlilik tarihleri ve manyetik şerit verilerini ve (ii) bu işlemle bağlantılı olarak fiziksel bir kartın kullanılıp kullanılmadığına bakılmaksızın, belirli bir hesap ile tanımlanabilen bir ödeme kartı işlemiyle ilgili bilgi ve verileri ifade eder.
    3. “Veri Koruma Gereklilikleri”, Avrupa Parlamentosu ve Konseyinin 27 Nisan 2016 tarihli Yönetmeliği (AB) (Genel Veri Koruma Yönetmeliği (“GVKY”)) dahil olmak, ancak bununla sınırlı olmamak üzere, topluca Sağlayıcının Kişisel Verileri İşlemesinin tabi olduğu veri gizliliği, veri güvenliği, kişisel veriler, sınır ötesi veri akışı ve veri koruma ile ilgili tüm yasa ve yönetmelikleri ifade eder.
    4. “Veri Korumaları”, bu Standartlara uygun olarak tadil edildiği şekliyle bu Standartların 9. maddesinde açıklanan idari, operasyonel, organizasyonel, teknik ve fiziksel korumaları ifade eder.
    5. “Genetik Veriler”, bir kişinin kalıtımsal veya edinilmiş genetik özellikleri ile ilgili olan ve kişinin fizyolojisi veya sağlığı hakkında benzersiz bilgiler veren ve özellikle de bu kişiden alınmış biyolojik bir örneğin analizinden elde edilen Kişisel Bilgileri ifade eder.
    6. “Sağlık Verileri”, bir gerçek kişinin, sağlık hizmetlerinin sağlanması da dâhil olmak üzere, sağlık durumu hakkında bilgi veren fiziksel veya zihinsel sağlığı ile ilgili Kişisel Bilgileri ifade eder.
    7. “Kötü Amaçlı Yazılımlar”, (a) diğer programlar, veriler, veri tabanları, bilgisayar kütüphaneleri dâhil olmak, ancak bunlarla sınırlı olmamak üzere, programlama, telekomünikasyon veya diğer dijital işletim veya işleme sistemleri veya ortamlarının, bilgisayar ve iletişim ekipmanlarının çalışmasını, güvenliğini, kullanılabilirliğini veya bütünlüğünü değiştirerek, tahrip ederek, bozarak ya da engelleyerek olumsuz yönde etkileyen, (b) işlevsel bir amaç olmaksızın manuel müdahale olmadan kendini çoğaltan, (c) faydalı bir işlev yerine getiriyor gibi görünen, ancak gerçekte ya yıkıcı, zararlı ya da izinsiz bir işlevi ifa eden veya yararlı bir işlev ifa etmeyen ve önemli bilgisayar, telekomünikasyon veya bellek kaynakları kullanan veya (d) virüs, Truva atları, mantık bombaları, solucanlar ve casus yazılımlar olarak bilinen yazılım, kod veya talimatlar dâhil olmak üzere, izinsiz olarak her tür bilgi veya veri toplayan ve/veya üçüncü taraflara aktaran bilgisayar yazılımları, kodları veya talimatlarını ifade eder.
    8. “Kişisel Bilgiler”, (i) belirli bir kişinin kimliğini tespit etmek, yerini bulmak veya bu kişi ile iletişim kurmak için (tek başına veya Sağlayıcı kontrolündeki diğer bilgilerle birlikte) kullanılabilecek veya (ii) kimliği tespit edilmiş veya edilebilir bir kişiyle ilgili her tür bilgiyi ifade eder. Örnek vermek gerekirse ve sayılacaklarla sınırlı olmamak üzere, Kişisel Bilgiler, ad, adres ve e-posta adresi gibi açıkça kişiyi tanımlamak için kullanılan veri unsurları ile kişinin kişisel tercihleri, otel konaklama bilgileri, misafir hesabı bilgileri, konum verileri ve çevrimiçi tanımlayıcıları gibi daha az belirgin bilgilerden oluşur. Kişisel Bilgiler ayrıca bir kişinin fiziksel, fizyolojik, genetik, zihinsel, ekonomik, kültürel veya sosyal kimliğine özgü faktörleri de içerir (ancak bunlarla da sınırlı değildir). Kişisel Bilgiler müşterilere, çalışanlara veya başkalarına ilişkin olabilir. Kişisel Bilgiler, bilgisayarlı veya elektronik kayıtlar dâhil olmak üzere her tür ortam veya formatta ve ayrıca başka bilgi veya materyallerle karıştırılmış olup olmadığına bakılmaksızın, tüm kopyalar, parçalar ve alıntılar da dâhil olmak üzere, kâğıt formatlı dosyalarda bulunabilir. Bu Standartların amaçları bakımından Kişisel Bilgiler yalnızca: (i) Sağlayıcıya Hilton tarafından veya adına sağlanan veya (ii) Hizmetlerin sağlanması ile bağlantılı olarak Sağlayıcı tarafından elde edilen, kullanılan, erişilen, sahip olunan ya da işlenen bilgileri içerir.
    9. “PCI Standartları”, ödeme kartı şirketlerinin toplu veya bireysel olarak tacirlerden yürürlükte olan ve Sözleşme süresince tadil edilen Ödeme Kartı Endüstrisi Veri Güvenliği Standartları dâhil olmak, ancak bunlarla sınırlı olmamak üzere, uymalarını talep ettiği ödeme kartı bilgilerinin korunmasına ilişkin veri güvenliği standartlarını ifade eder.
    10. “İşleme”, toplama, kayıt, düzenleme, yapılandırma, depolama, uyarlama veya değişiklik, alma, danışma, kullanım, aktarma ile açıklama, yayma veya başka şekilde erişilir kılma, uyumlandırma veya birleştirme, kısıtlama, silme veya imha gibi Kişisel Veriler üzerinde gerek otomatik yollarla gerekse başka şekilde yapılan herhangi bir işlemi veya işlemler grubunu ifade eder.
    11. “Tedarikçi İşleme Kaydı”, Hizmetler ile bağlantılı olarak gerçekleştirilen ve (i) Sağlayıcının ve her tür Alt-Yüklenicilerin adı ve iletişim bilgilerini ve varsa Sağlayıcının veri koruma görevlisinin adını ve iletişim bilgilerini, (ii) Sağlayıcı tarafından Hilton için gerçekleştirilen İşleme kategorilerini, (iii) varsa Sağlayıcının Kişisel Verileri aktardığı ülkelerin listesini ve (iv) Sağlayıcının Veri Koruma Önlemlerinin açıklamasını içeren tüm İşleme kategorilerinin yazılı kaydını ifade eder.
    12. “Güvenlik İhlali“, (i) ihlalin etkilenen taraflara veya bir düzenleyici veya veri koruma makamına bildirilmesi dâhil olmak, ancak bununla sınırlı olmamak üzere, yürürlükteki Veri Koruma Gereklilikleri uyarınca söz konusu duruma karşılık olarak bir eylemin gerekli olduğu herhangi bir durumu veya (ii) gerek Fiziksel Güvenliği gerekse Sistem Güvenliğini (aşağıda tanımlandığı gibi) herhangi bir Kişisel Bilginin yetkisiz İşlenmesine, kullanılmasına, açıklanmasına, elde edilmesine veya erişilmesine izin verecek veya makul nedenlerle izin vermesi beklenebilecek şekilde tehlikeye atan veya makul nedenlerle tehlikeye atması beklenebilecek herhangi bir fiili, girişimde bulunulan, şüpheli, beklenen veya makul nedenlerle öngörülebilen durumu ifade eder.
    13. “Fiziksel Güvenlik”, Sağlayıcı veya acenteleri veya Alt-Yüklenicileri tarafından Hizmetlerle bağlantılı olarak veya Hizmetlerin yerine getirilmesinde Sağlayıcı veya acenteleri veya Alt-Yüklenicileri tarafından kullanılan varlıkların veya fiziksel ortamın fiziksel taşınması sırasında sağlanan konum konut sistemlerindeki fiziksel güvenliği ifade eder.
    14. “Sistem Güvenliği”, her tür bilgisayar, elektronik veya telekomünikasyon sisteminin (veri tabanları, donanım, yazılım, depolama, anahtarlama ve ara bağlantı cihazları ve mekanizmaları dâhil) güvenliğini, bu sistemlerin bir parçası olduğu veya bu sistemlerin iletişim kurduğu ağların güvenliği ve doğrudan veya dolaylı olarak Sağlayıcı veya acenteleri veya Alt-Yüklenicileri tarafından Hizmetlerle bağlantılı olarak kullanılan ağların güvenliğini ifade eder.
    15. “Hassas Kişisel Bilgiler”, yürürlükteki Veri Koruma Gerekliliklerine göre nitelikleri gereği ek gizlilik ve güvenlik korumaları tahsis edilmesi gerektiği şeklinde sınıflandırılmış olan ve (i) kişinin (A) Sosyal Güvenlik numarası, Vergi Kimlik Numarası, pasaport veya diğer seyahat belgelerinde yer alan bilgileri, ehliyet numarası veya devlet veya kamu kuruluşu tarafından verilen başka kimlik numarası veya (B) mali hesap numarası ile birlikte kişinin adını, (ii) kişinin bir şifre, PIN veya erişim kodu ile birlikte çevrimiçi bir hesaba erişim hakkı veren kullanıcı adı, (iii) Kart Sahibi Verileri, (iv) ırk veya etnik kökene ilişkin verileri, (v) siyasi görüş, dini veya felsefi inanç veya sendika üyeliği verileri, (vi) Genetik Veriler, (vii) Biyometrik Veriler, (viii) Sağlık Verileri ve (ix) gerçek bir kişinin cinsel yaşamına veya cinsel yönelimine ilişkin veriler gibi verileri içeren, ancak bunlarla sınırlı olmayan Kişisel Bilgileri ifade eder.
    16. “Hizmetler”, Sözleşmede ayrıntılı olarak tanımlandığı şekilde Sağlayıcı tarafından Hilton’a veya acenteleri (franchise) yararına Hilton aracılığıyla sağlanan mal ve hizmetleri ifade eder.
    17. “Alt-Yüklenici”, herhangi bir Sağlayıcı bağlı kuruluşu da dâhil olmak üzere, Sağlayıcı tarafından Kişisel Bilgilerin kendisi için işlenmesini içeren Hizmetleri ifa etmek üzere görevlendirilen bir kuruluşu ifade eder.

  2. İŞLEME KONUSU VE SÜRESİ, KİŞİSEL BİLGİLERİN TÜRÜ VE NİTELİĞİ.

     

    Sağlayıcı, Kişisel Bilgileri, Sözleşmede açıklanan Hizmetlerle bağlantılı olarak ve Sözleşme süresince Veri Koruma Gerekliliklerine ve Sözleşmeye uymak koşuluyla işleyecektir. Sağlayıcı tarafından işlenen Kişisel Bilgilerin türü, Sözleşmede açıklanmıştır. İşleme, Hilton çalışanlarının, Hilton müşterileri ve misafirlerinin kişisel bilgilerini ve Sözleşmede ayrıntılı olarak açıklandığı üzere Hilton kurumsal müşterilerinin, tedarikçilerinin ve diğer iş ortaklarının ticari iletişim bilgilerini içerebilir.

  3. İŞLEMENİN NİTELİĞİ VE AMACI, KİŞİSEL BİLGİLERİN MÜLKİYETİ.

     

    Hilton, Kişisel Bilgilerin işlenme amaçlarını münhasıran belirleme hakkına sahiptir. Sağlayıcı, Kişisel Bilgileri yalnızca Hizmetleri Sözleşmeye uygun olarak sağlamak amacıyla işleyecektir. Sağlayıcı hiçbir zaman Kişisel Bilgilere ilişkin herhangi bir mülkiyet, lisans, hak veya başka menfaatler iktisap etmeyecektir. Hilton ve Sağlayıcı arasında olduğu üzere Kişisel Bilgiler daima Hilton’un özel mülkiyetindeki bilgiler olarak kalmaya devam edecek ve GVKY’de tanımlandığı üzere Hilton, “Veri Sorumlusu” ve Sağlayıcı “İşleyici” olacaktır.

  4. KİŞİSEL BİLGİLERİN KULLANILMASI VE İŞLENMESİ

     

    Sağlayıcı, Kişisel Bilgileri sadece Hilton adına ve Kişisel Bilgilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarılması ile ilgili olanlar da dâhil olmak üzere, yalnızca Hilton tarafından yazılı olarak bildirildiği şekilde işleyecek ve Sağlayıcının tabi olduğu Veri Koruma Gereklilikleri uyarınca gerekmesi halinde Sağlayıcı, ilgili yasal şartı Hilton’a bildirecektir, meğer ki yapılacak bilgilendirme Veri Koruma Gereklilikleri ile kamu menfaatine dair önemli gerekçelerle yasaklanmamış olsun. Hilton, Sağlayıcıya, Kişisel Bilgileri yalnızca Sözleşme kapsamındaki Hizmetleri sağlamak için gerektiği şekilde ve Sözleşmeye, bu Standartlara ve Veri Koruma Gerekliliklerine uygun olarak İşlemesi talimatını vermektedir. Sağlayıcı hiçbir durumda (a) Kişisel Bilgileri, kendisinin.

    veya bir bağlı kuruluşunun veya üçüncü bir tarafın hizmetlerini pazarlamak için kullanamaz, (b) Kişisel Bilgileri satamaz veya kiralayamaz ya da (c) Kişisel Bilgileri kendisinin, bağlı kuruluşlarının veya üçüncü tarafların amaçları için işleyemez. Sağlayıcı, bir talimatın Veri Koruma Gerekliliklerini ihlal ettiğine kanaat getirmesi halinde durumu derhal Hilton’a bildirecektir.

  5. ALT-YÜKLENİCİ KULLANIMI

     

    1. Sözleşme kapsamında aksine açıkça izin verilmedikçe Sağlayıcı, Hizmetlerin ifasında Alt-Yüklenicileri her durumda Hilton’un yazılı izni olmadan kullanmayacaktır.
    2. Sözleşmede Sağlayıcıya Alt-Yüklenici kullanması için açıkça genel bir izin verilmesi halinde Sağlayıcı, (i) her Alt-Yüklenicinin kimliği ile birlikte Hizmetlerin sağlanmasında görev alan Sağlayıcı Alt-Yüklenicilerinin, ilgili Alt-Yüklenici tarafından ifa edilen Hizmetlerin, ilgili Alt-Yüklenicilerin Hizmet verdiği yerin/yerlerin bir listesini ve Hilton tarafından makul nedenlerle talep edilebilecek ek bilgileri Hizmetlerin başlamasından önce ve Hilton tarafından talep edilmesi üzerine derhal Hilton’a sağlayacak ve (ii) bu Alt-Yüklenicilerde planlanan her tür ilave veya değişikliği (her biri bir “Alt-Yüklenici Değişikliği”) Hilton’a yazılı olarak bildirecektir. Hilton’a yapılması planlanan bir Alt-Yüklenici Değişikliğine itiraz edebilmesi için makul bir süre tanınacaktır. Bu tür bir itirazda bulunulması durumunda Sağlayıcı, Hilton’un taleplerini Hilton’un makul surette kabul edebileceği şekilde yerine getirebilecek olmadıkça Alt-Yüklenici Değişikliğini uygulamayacaktır. Alt-Yüklenici Değişikliklerinin tek bir müşteri için ayrı ayrı uygulanamayacağı ve Sağlayıcının Hilton’un taleplerini Hilton’un makul surette kabul edebileceği şekilde yerine getiremediği durumlarda “hizmet olarak yazılım” ya da çok kiracılı bir ortamda sunulan Hizmetleri içeren bir Alt-Yüklenici Değişikliği durumunda Hilton, Sözleşmeyi veya ilgili Hizmetleri haklı gerekçeyle ve herhangi bir sorumluluk (veya herhangi bir fesih ücreti veya başka bir ücret ödemesi) olmaksızın feshedebilir. Bu tür bir fesih durumunda Sağlayıcı, söz konusu Sözleşmenin ya da Hizmetlerin süresinin geri kalanını kapsayan peşin ödenmiş ücretleri derhal Hilton’a iade edecektir.
    3. Sağlayıcı, Hilton adına belirli İşleme faaliyetlerini ifa etmesi için bir Alt-Yüklenici tutması durumunda, burada Hilton ile Sağlayıcı arasında belirtilen aynı veri koruma yükümlülüklerini Alt-Yükleniciye de uygulayacaktır. Bu yükümlülükler, yürürlükteki Veri Koruma Gereklilikleri uyarınca bir sözleşme veya başka bir yasal işlem yoluyla uygulanacak ve Alt-Yükleniciden, İşleme faaliyetinin yürürlükteki Veri Koruma Gerekliliklerini karşılayacak uygun teknik ve organizasyonel önlemleri uygulayacağına dair yeterli güvence sağlamasını talep edecektir. Sağlayıcı, Alt-Yüklenicilerinin bu Standartlara uymasından daima mesul ve sorumlu olacaktır.

  6. KİŞİSEL BİLGİLERİN AÇIKLANMASI

     

    Sağlayıcı, Kişisel Bilgileri Veri Koruma Gereklilikleri, bu Standartlar ve Sözleşmeye uygun olarak gizli tutacaktır. Sağlayıcı, Hizmetlerin ifası için gerekli olmadıkça, Kişisel Bilgileri (Alt-Yüklenicileri dâhil olmak, ancak bunlarla sınırlı olmamak üzere) herhangi bir bağlı kuruluşuna veya üçüncü tarafa açıklamayacaktır. Herhangi bir Kişisel Bilgiyi herhangi bir Alt-Yükleniciye veya başka bir üçüncü tarafa açıklamadan önce Sağlayıcı, ilgili Alt-Yüklenici veya diğer üçüncü tarafla, en az bu Standartlarda belirtilenler kadar kısıtlayıcı yükümlülükler içeren yazılı bir anlaşma yapacaktır. Sağlayıcı ayrıca Kişisel Bilgileri açıkladığı tüm bağlı kuruluşların ve üçüncü tarafların bir listesini Hilton’un talebi üzerine vermeyi kabul eder. Sağlayıcı, Kişisel Bilgileri açıkladığı üçüncü tarafların, bağlı kuruluşlarının ve kendisinin bu Standartlara uymasından daima mesul ve sorumlu olacaktır. Sağlayıcı, Kişisel Bilgilerin İşlenmesi faaliyetinde görev alan personelinin, Kişisel Bilgilerin gizli niteliği hakkında bilgilendirilmesini ve yazılı gizlilik sözleşmeleri imzalamış (veya uygun bir yasal gizlilik yükümlülüğü altında) olmalarını sağlayacaktır. Sağlayıcı, bu gizlilik yükümlülüklerinin, söz konusu personelin iş akdinin herhangi bir şekilde sona ermesinden sonra da yürürlükte kalmaya devam etmesini sağlayacaktır.

  7. HUKUKİ SÜREÇ KAPSAMINDA AÇIKLAMA

     

    Sağlayıcıdan herhangi bir Kişisel Bilgiyi(sözlü sorular, sorgular, hukuki işlemlerdeki bilgi veya belge talepleri, mahkeme celbi, hukuk soruşturması talebi veya benzeri bir işlem yoluyla) üçüncü bir tarafa açıklaması talep edilmesi veya gerekmesi halinde Sağlayıcı, Kişisel Bilgileri yürürlükteki yasalara uymadan açıklamayacaktır. Yürürlükteki yasalar tarafından yasaklanmadıkça Sağlayıcı, Kişisel Bilgilerin üçüncü bir tarafa açıklanması talebini veya gerekliliği, Hilton’un yapılacak açıklamayı önlemek veya sınırlandırmak için yasalar kapsamında sahip olabileceği hakları, masrafları kendisine ait olmak üzere, kullanabilmesini sağlamak amacıyla en geç talebi aldıktan sonra yetmiş iki (72) saat içerisinde, ancak her halükarda herhangi bir açıklama yapmadan önce yazılı olarak Hilton’a bildirecektir. Yukarıdaki hükme bakılmaksızın Sağlayıcı, Kişisel Bilgilerin açıklanmasını önlemek veya sınırlamak ve Kişisel Bilgilerin gizliliğini korumak için Sağlayıcının açıklamasının mecbur tutulduğu Kişisel Bilgilerin gizli tutulacağına dair uygun bir koruma veya başka bir güvence elde etmek için Hilton ile iş birliği yapılmasını içeren, ancak bununla da sınırlı olmayan ticari olarak makul çabayı gösterecektir.

  8. KİŞİSEL BİLGİLERİN SINIR ÖTESİ AKTARILMASI

     

    Madde 4’te belirtildiği üzere Sağlayıcı, Kişisel Bilgileri bir ülkeden diğerine yalnızca Hilton’un önceden yazılı izni ile ve Veri Koruma Gerekliliklerine uygun olarak aktarabilir. Kaynağı Avrupa Birliği (“AB”) veya İsviçre olan, Hizmetlerle bağlantılı olarak Sağlayıcı tarafından işlenen Kişisel Bilgiler ile ilgili olarak, (i) Sağlayıcının AB’de veya İsviçre’de bulunduğu ve söz konusu Kişisel Bilgileri AB’de veya İsviçre’de aldığı durumlarda Sağlayıcı, Kişisel Bilgileri Hilton’un önceden yazılı izni olmadan (Sözleşmeye dâhil edilebilir) AB veya İsviçre dışına aktarmamayı ve yürürlükteki Veri Koruma Gereklilikleri uyarınca söz konusu aktarımlar için yeterli güvenlik önlemlerinin alınması hususunda Hilton’un talimatlarına uymayı ve Alt-Yüklenicilerinin de uymasını sağlamayı ve (ii) Sağlayıcının (A) AB’de veya İsviçre’de bulunmaması veya (B) söz konusu Kişisel Bilgileri başlangıçta AB veya İsviçre dışındaki bir ülkeden alması (örneğin, kaynağı AB veya İsviçre olan Kişisel Bilgilerin Sağlayıcıya doğrudan Amerika Birleşik Devletleri’nden gönderilmesi) durumunda, (1) Sağlayıcı, https://www.privacyshield.gov/EU-US-Framework adresinde bulunan ve zaman zaman tadil edilen AB-ABD Gizlilik Kalkanı Çerçevesinde öngörülen gizlilik koruması seviyesinin en azından aynısını sağlamayı ve (2) Hilton’un talebi üzerine, Sağlayıcı ve acenteleri ve Alt-Yüklenicilerinin, Kişisel Bilgilerin Hilton tarafından Sağlayıcı ve acenteleri ve Alt-Yüklenicilerine aktarılmasına olanak sağlamak amacıyla Hilton ile Veri Sorumluları ve İşleyicileri arasındaki Avrupa Komisyonu Standart Sözleşme Maddelerini veya diğer ülkelerle ilgili diğer benzer maddeleri içeren bir veri işleme sözleşmesi yapmayı kabul eder. Yukarıdaki hükümlerin genel niteliğini sınırlamaksızın Sağlayıcı, aksi Hilton tarafından yazılı olarak kabul edilmedikçe, Kişisel Bilgileri herhangi bir ülkeye (Sağlayıcının acenteleri veya Alt-Yüklenicileri tarafından İşlenmesi dahil) aktarmayacaktır.

  9. VERİ GÜVENLİĞİ ÖNLEMLERİ

     

    1. Sağlayıcı, Kişisel Bilgilere yetkisiz erişimi, Kişisel Bilgilerin toplanmasını, imha edilmesini, değiştirilmesini, kullanılmasını veya açıklanmasını önlemek için uygun güvenlik prosedürleri ve uygulamaları tesis edecek, uygulayacak ve sürdürecektir. Bu prosedürler ve uygulamalar, asgari olarak Sözleşme, bu Standartlar ve Veri Koruma Gereklilikleri ile uyumlu olacaktır. Tüm bu prosedür ve uygulamalar, Kişisel Bilgilerin niteliğini ve Kişisel Bilgiler’e ilişkin orantılı riskleri dikkate alacaktır.
    2. Yukarıdaki hüküm uyarınca Sağlayıcı aşağıdaki hususları kabul eder:
      1. (A) Kişisel Bilgilere yetkisiz erişimi, Kişisel Bilgilerin toplanmasını, imha edilmesini, değiştirilmesini, kullanılmasını veya açıklanmasını önlemek için idari, teknik ve fiziksel önlemler içeren yazılı bir bilgi güvenliği programı tesis edecek, uygulayacak, sürdürecek ve takibini yapacak, (B) İşleme sistemlerinin ve Hizmetlerin kesintisiz olarak gizliliği, bütünlüğü, kullanılabilirliği ve esnekliğini sağlayacak ve (C) fiziki veya teknik bir olay durumunda, Kişisel Bilgilerin kullanılabilirliğini ve Kişisel Bilgilere erişimi, zamanında eski durumuna getirilebilmesini sağlayacaktır.
      2. Kişisel Bilgileri içeren elektronik, kağıt ve diğer kayıtların güvenlik, gizlilik ve bütünlüğüne ilişkin makul surette öngörülebilir dâhili ve harici riskleri belirlemek ve değerlendirmek için periyodik risk değerlendirmeleri yapacak ve gerektiğinde, bu dâhili ve harici riskleri sınırlandırmak için aldığı önlemlerin etkinliğini değerlendirecek ve iyileştirecektir
      3. Kişisel Bilgilere erişim izni verilecek tüm Sağlayıcı çalışanlarının, acentelerinin ve Alt-Yüklenicilerinin güvenilir olmasını sağlayacak makul önlemler alacaktır.
      4. Bilgi güvenliği programının, bilgisayar sistemlerinde depolanan ya da işlenen Kişisel Bilgileri korumak için endüstri standardı şifre, güvenlik duvarı, işletim sistemi, virüsten koruma yazılımı ve kötü amaçlı yazılım korumaları içermesini sağlayacaktır.
      5. Endüstri standardı şifreleme araçları kullanarak, (A) Sağlayıcının kablosuz olarak veya genel ağlar üzerinden ilettiği veya gönderdiği Kişisel Bilgileri içeren ve (B) Sağlayıcının (1) dizüstü bilgisayarlarda veya depolama ortamlarında, (2) taşınabilir cihazlarda ve (3) Sağlayıcının fiziksel veya mantıksal erişim kontrollerinin dışına taşınan herhangi bir cihazda saklanan Hassas Kişisel Bilgiler içeren tüm kayıtları ve dosyaları şifreleyecek ve şifrelenen Kişisel Bilgilerle ilişkili tüm şifreleme anahtarlarının güvenliğini, gizliliğini ve bütünlüğünü koruyacaktır.
      6. Bir güvenlik ihlalinin olabileceğine veya olduğuna inanmak için bir gerekçesi olduğunda Sağlayıcı tarafından alınacak önlemleri belirten bir olay müdahale programı tesis edecektir.
      7. Veri Koruma Gereklilikleri kapsamında gerekebilecek veya Sözleşmede belirtilen ek güvenlik önlemlerini uygulayacaktır.
      8. Sağlayıcı Kart Sahibi Verilerini, Hizmetler ile bağlantılı olarak İşlemesi durumunda, Kart Sahibi Verilerine ilişkin PCI Standartlarına uyacaktır. Sözleşmede belirtilen yükümlülüklerine uygun olarak Sağlayıcı, Hizmetlerin ifası ile bağlantılı olarak Kart Sahibi Verilerinin korunmasından ve güvenliğinden sorumlu olduğunu kabul eder. Sağlayıcı ayrıca Hilton’un PCI Standartlarına uyma kabiliyetini tehlikeye atacak hiçbir eylemde bulunmayacağını beyan ve taahhüt eder.
      9. Sağlayıcının doğrudan veya acentelerinden veya Alt-Yüklenicilerinden herhangi biri aracılığıyla Hilton’un bilgi işlem sistemlerine ve/veya ağlarına bağlandığı durumlarda, (A) Hilton’un bilgi işlem sistemlerine ve/veya ağlarına yapılan tüm Sağlayıcı bağlantıları ve aynı anda yapılan tüm girişimler yalnızca Hilton’un güvenlik ağ geçitleri/güvenlik duvarları üzerinden yapılacak, Sağlayıcı (B) Hilton’un izni olmadan Hilton’un bilgi işlem sistemlerine ve/veya ağlarına erişmeyecek ve başka kişi veya kuruluşların da erişmesine izin vermeyecek, (C) Hilton’un kendisine bilgi işlem sistemlerine ve/veya ağlarına erişim izni vermesi durumunda yalnızca Hilton’un bilgi işlem sistemlerine ve/veya ağlarına izin verildiği şekilde erişecek ve (D) Hilton’un sistemlerine veya ağlarına bağlanan Sağlayıcı sistemlerinin ve gizliliği ihlal edilmesi durumunda, Hilton’un bilgi işlem sistemlerinin veya ağlarının güvenliğini, gizliliğini, bütünlüğünü veya kullanılabilirliğini etkileyebilecek Sağlayıcı sistemleri, Hilton’un bilgi işlem sistemlerine veya ağlarına erişim öncesinde ve sırasında güncel anti-virüs tanımları olan endüstri standardı bir kötü amaçlı yazılım tespit/tarama programı ile aktif olarak korunacaktır. Sağlayıcı, Hilton’un, Sağlayıcı ağında periyodik değerlendirmeler yapabileceğini kabul eder. Sağlayıcı ağında yapılan herhangi bir değerlendirme sırasında, Sağlayıcı veya acenteleri veya Alt-Yüklenicileri tarafından sağlanan güvenliğin yetersiz olduğunun tespit edilmesi halinde, Hilton, sahip olabileceği diğer çözümlere ek olarak, Sağlayıcının, acentelerinin veya Alt-Yüklenicilerinin Hilton’un bilgi işlem sistemlerine ve/veya ağlarına erişim iznini, söz konusu güvenlik sorunu Hilton tarafından kabul edilecek şekilde çözülene kadar askıya alabilir.

    3. Sağlayıcı, (i) çalışanlarının ve acentelerinin, istihdam veya muhafaza şartı olarak, Sağlayıcının elinde bulunan ya da Sağlayıcı tarafından elde edilen veya erişilebilir olan tüm Kişisel Bilgileri korumak durumunda olacağını, (ii) Kişisel Bilgilere erişim izni verilecek veya Kişisel Bilgilerle temas edecek olan çalışanlarına ve acentelerine, Kişisel Bilgilerin korunması konusunda uygun eğitimler verileceğini, (iii) Kişisel Bilgilere erişimi, bu bilgilere Hilton’a mal ve/veya hizmet sağlama amacıyla erişmesi gereken asgari sayıda Sağlayıcı çalışanı ve acentesi ile sınırlı tutulması dâhil olmak, ancak bununla sınırlı olmamak üzere, uygun erişim kontrolleri tesis edeceğini ve (iv) bilgi güvenliği politikaları ve prosedürlerinin ihlaline yönelik uygun disiplin cezaları uygulayacağını kabul eder.
    4. Sağlayıcı, Kişisel Bilgileri içeren herhangi bir kâğıt veya elektronik kaydı imha etmesi durumunda, imha işlemini, bu bilgilere yetkisiz erişimi önlemek için bilgilerin hassasiyet düzeyine uygun bir şekilde yapacaktır. Talep edilmesi üzerine Sağlayıcı, imha edilen tüm Kişisel Bilgilerin, bu Standartlara uygun olarak imha edildiğini Hilton’a teyit edecektir. Sağlayıcının, bunu teyit edememesi durumunda, söz konusu imha şartına uyduğunu teyit edememe nedenine dair yazılı bir açıklama sağlayacaktır.
    5. Sağlayıcı, Veri Koruma Önlemlerini (i) en az yıllık olarak veya Sağlayıcının iş uygulamalarında Kişisel Bilgilerin güvenliğini, gizliliğini veya bütünlüğünü makul nedenlerle etkileyebilecek önemli bir değişiklik olduğunda, (ii) geçerli endüstri uygulamalarına uygun olarak, (iii) yeni, tadil edilmiş veya yeniden yorumlanmış Veri Koruma Gerekliliklerine uygun olarak ve (iv) Hilton tarafından makul surette talep edildiği şekilde gözden geçirecek ve uygun olduğu revize edecektir. Sağlayıcı, Veri Koruma Önlemlerini, Kişisel Bilgilerin güvenliğini, gizliliğini veya bütünlüğünü zayıflatacak veya tehlikeye atacak şekilde değiştirmemeyi veya tadil etmemeyi kabul eder.

  10. GÜVENLİK OLAYLARI

     

    Sağlayıcı, mümkünse, kötü amaçlı yazılımların varlığı da dâhil olmak üzere, bir güvenlik ihlalinin farkına varması üzerine durumu derhal Hilton’a ISC@Hilton.com bildirmeyi kabul eder. Sağlayıcı, kötü amaçlı yazılımların varlığı da dâhil olmak üzere, bir güvenlik ihlalinin farkına vardıktan sonra durumu derhal Hilton’a bildirememesi halinde, durumu güvenlik ihlalinin farkına vardıktan sonra yirmi dört (24) saat içinde Hilton’a bildirecektir. Bu bildirimi yaptıktan sonra Sağlayıcı, (i) bir kök neden analizi yapılması da dâhil olmak üzere, güvenlik ihlalini derhal araştıracak ve bulgularını Hilton’a bildirecek, (ii) güvenlik ihlalini ele almak ve başka olayları önlemek amacıyla Hilton’a, Hilton tarafından kendi takdiri ile onaylanan bir iyileştirme planı sunacak, (iii) güvenlik ihlalini, Hilton tarafından onaylanan iyileştirme planına uygun olarak giderecek, (iv) güvenlik ihlalinden hangi sistemlerin, verilerin ve bilgilerin etkilendiğini belirlemek için adli soruşturma yapacak, (v) Hilton kendi güvenlik olayı müdahale planını uygularken ya da güvenlik ihlalini araştırırken Hilton ile işbirliği yapacak, (vi) Hilton’un, güvenlik ihlalini araştıran kolluk kuvvetleri veya düzenleyici yetkilileri, kredi raporlama şirketleri veya kredi kartı kuruluşları ile işbirliği yapılması taleplerine uyacak ve (vii) güvenlik ihlalinin durumu ve buna ilişkin konular hakkında Hilton’u bilgilendirecektir. Sağlayıcı ayrıca Hilton ve/veya Hilton’un görevlendirdiği temsilcileri tarafından, bu tür bir güvenlik ihlalinin Hilton tarafından soruşturulması, düzeltilmesi ve/veya giderilmesi ile ilgili olarak talep edilen tüm makul yardımı sağlamayı kabul eder ve yasal olarak gerekli bildirimlerin yapılması zorunluluğu doğuran bir güvenlik ihlalinden kaynaklanan veya bu tür bir güvenlik ihlali ile bağlantılı olarak Hilton tarafından yapılan bildirim ile ilgili tüm makul masraflar karşısında, talep edilmesi üzerine Hilton’u tazmin edecektir. Herhangi bir Veri Koruma Gerekliliği kapsamında veya herhangi bir Hilton’un gizlilik veya güvenlik politikaları uyarınca bir kişiye bildirimde bulunulmasının gerekmesi halinde, aynı olaydan (Hilton tarafından makul surette belirlendiği şekilde) etkilenen tüm kişilere yapılacak bildirimler yasal olarak gerekli kabul edilecektir. Bildirim ile İlgili Masraflar, (i) yasal olarak gerekli bildirimlerin hazırlanması ve gönderilmesi veya başka bir şekilde iletilmesi, (ii) etkilenen kişilere, acentelere ya da Hilton’un makul nedenlerle uygun gördüğü diğerlerine gönderilecek yazışmaların hazırlanması ve gönderilmesi veya başka bir şekilde iletilmesi, (iii) on iki (12) ay ya da yürürlükteki Veri Koruma Gereklilikleri uyarınca gerekli olabilecek veya ilgili şartlar uyarınca makul olan daha uzun bir süre boyunca bir çağrı merkezi kurulması, (iv) güvenlik ihlaline müdahale etmek için iletişim prosedürlerinin tesis edilmesi (örneğin, müşteri hizmetleri SSS, konuşma noktaları ve eğitim), (v) halkla ilişkiler ve diğer benzeri kriz yönetimi hizmetleri ücretleri, (vi) Hilton’un güvenlik ihlalini veya kötü amaçlı yazılım varlığını soruşturması ve bunlara müdahale etmesi ile ilgili yasal, adli ve muhasebe ücretleri ve giderleri, ve (vii) ticari olarak makul kredi raporlama, kredi izleme, kimlik koruma, kimlik düzeltme ve yasal olarak gerekli bildirimlerle bağlantılı olan veya on iki (12) ay ya da yürürlükteki Veri Koruma Gereklilikleri uyarınca gerekli olabilecek veya ilgili şartlar uyarınca makul olan daha uzun bir süre boyunca ilgili koşullar kapsamında önerilen benzer hizmetlere ilişkin masraflar dâhil olmak, ancak bunlarla sınırlı olmamak üzere, Hilton’un güvenlik ihlalinin ele alınması ve güvenlik ihlaline müdahale edilmesi ile ilgili dahili ve harici maliyetleri kapsar. Aksi yürürlükteki Veri Koruma Gerekliliklerinde öngörülmedikçe, güvenlik ihlalinin ve iyileştirme planının uygulanmasını Hilton çalışanlarına, misafirlerine, hizmet sağlayıcılarına, düzenleyici makamlara ve/veya kamuya bildirilmesine ilişkin nihai kararı Hilton verecektir.

  11. ŞİKÂYETLER; SORUŞTURMALAR

     

    Sağlayıcıya, kendisinin Kişisel Bilgileri İşlemesi veya Hilton’un veya Sağlayıcının Kişisel Bilgiler ile bağlantılı olarak yürürlükteki yasa ve yönetmeliklere uyumu ile doğrudan veya dolaylı olarak ilgili herhangi bir şikâyet, bildirim veya yazışma gönderilmesi halinde, söz konusu şikâyet, bildirim veya yazışmayı derhal Hilton’a bildirecektir. Hilton’un talebi üzerine Sağlayıcı, bu tür bir şikâyet ya da düzenleyici bir kurum ya da bir veri koruma makamı ya da benzer bir makam tarafından yapılan bir soruşturma durumunda, söz konusu şikâyet ya da soruşturmanın Sağlayıcının Kişisel Bilgileri İşlemesi ile ilgili olduğu ölçüde Hilton’a yardım ve destek sağlayacaktır. Bu yardıma ilişkin tüm masraflar Hilton’a ait olacak, ancak şikâyetin veya soruşturmanın Sağlayıcının davranışları veya ihmalleri ile ilgili bir iddiadan veya soruşturmadan kaynaklandığı durumlarda, söz konusu masraflar Sağlayıcıya ait olacaktır.

  12. VERİ SAHİBİNİN KİŞİSEL BİLGİLER İLE İLGİLİ TALEPLERİ

     

    Sağlayıcı, verilerin sahibi olan (ya da olduğunu iddia eden) bir kişiden Kişisel Bilgilere erişilmesi, Kişisel Bilgilerin düzeltilmesi, değiştirilmesi veya silinmesine dair herhangi bir talep alması üzerine söz konusu talebi derhal yazılı olarak Hilton’a bildirecektir (“Veri Sahibi Talepleri”). Aksi yasalar veya yönetmeliklerde belirtilmedikçe veya Sözleşmede öngörülmedikçe Sağlayıcı, talebin Hilton ile ilgili olduğunu doğrulamak için gerekli olduğu durumlar dışında, kendisine Hilton tarafından açıkça izin verilmedikçe bu taleplere doğrudan cevap vermeyecektir. Hizmetler kapsamında Sağlayıcı, Veri Sahibi Taleplerini yanıtlamak ve yerine getirmek için Hilton ile işbirliği yapacak ve Hilton’a tüm makul yardımı sağlayacaktır

  13. VERİ KORUMA GÖREVLİSİ

     

    Sağlayıcı, Veri Koruma Gereklilikleri uyarınca gerektiğinde bir veri koruma görevlisi görevlendirmiştir.

  14. HİLTON’A SAĞLANACAK DİĞER YARDIMLAR

     

    Sağlayıcının bu Standartlar kapsamındaki diğer yükümlülüklerine ek olarak ve bunlarla sınırlı olmamak üzere ve Hizmetler ve İşleme faaliyeti bakımından geçerli olduğu durumlarda Sağlayıcı, Hilton’un talebi üzerine ve Hizmetler kapsamında (i) Hilton’un Kişisel Bilgiler bakımından geçerli güvenlik önlemlerini uygulamasında, (ii) bir denetim makamına veya Veri Sahiplerine yapılması gereken Güvenlik İhlali bildirimi ile bağlantılı olarak, (iii) İşleme ile ilgili herhangi bir gizlilik etkisi değerlendirmesi ile bağlantılı olarak ve (iv) İşleme ile bağlantılı olarak Hilton tarafından yürütülen ve bir denetleyici makama yapılan herhangi bir başvuru ile bağlantılı olarak Hilton’a yardımcı olacak ve Hilton ile işbirliği yapacaktır.

  15. BU STANDARTLARIN İHLALLERİ

     

    Sağlayıcı, bu Standartların esaslı ihlallerini derhal Hilton’a bildirmeyi kabul eder. Hilton’un bu Standartların ihlaline ilişkin sahip olabileceği diğer çözümleri sınırlamaksızın, Sağlayıcı, bu Standartların herhangi bir şartını ihlal etmesi durumunda, Hilton’un, Sağlayıcı ve Hilton arasındaki tüm sözleşme veya düzenlemeler kapsamında Sağlayıcı tarafından yapılan mal ve/veya hizmet tedariklerini kendi takdirine bağlı olarak ve cezasız olarak derhal feshedebileceğini kabul eder. Ayrıca, Sağlayıcı, kendi kontrolündeki Kişisel Bilgilerin yetkisiz işlenmesi ve ayrıca Kişisel Bilgilerin acenteler, Alt-Yükleniciler veya üçüncü taraflarca izinsiz erişimi, toplanması ve kullanılması ile ilişkili tüm masraf, ücret, iddia veya davalar karşısında Hilton’u eksiksiz olarak tazmin etmeyi kabul eder.

  16. KAYIT, DENETİM VE İNCELEMELER

     

    Sağlayıcı, Sağlayıcı İşleme Kayıtları da dahil olmak üzere, Veri Güvenliği Önlemleri ve iş sürekliliği ve kurtarma olanakları, kaynakları, planları ve prosedürleri ile ilgili kayıtları ve makul destekleyici belgeleri ve Sağlayıcının bu Standartlara uyduğunu doğrulamak için gerekli diğer kayıt ve belgeleri, Sözleşme süresince daima eksiksiz ve doğru bir şekilde tutacak ve Hilton’un talebi üzerine, ek bir ücret talep etmeden Hilton’a sağlayacaktır. Sağlayıcı, kendisine makul bir bildirimde bulunulması üzerine, Hilton’a, denetçilerine, görevli denetleme temsilcilerine ve veri koruma makamları dahil düzenleyici makamlara normal mesai saatleri içerisinde (i) Kişisel Bilgilerin İşlendiği Sağlayıcı tesislerini, (ii) Kişisel Bilgilerin İşlenmesinde kullanılan bilgisayarlı sistemleri ve (iii) Sağlayıcının güvenlik uygulamaları ve prosedürleri, veri koruma uygulamaları ve prosedürleri ve iş sürekliliği ve kurtarma kolaylıkları, kaynakları, planları ve prosedürlerini denetleme ve incelemelerine izin verecektir. Bu denetim ve inceleme hakları asgari olarak (i) Sağlayıcının bu Standartlara ve Veri Koruma Gerekliliklerine uyduğunu doğrulamak, (ii) Kişisel Bilgilerin bütünlüğünü doğrulamak ve (iii) Hilton’un Veri Koruma Gerekliliklerine uyumunu kolaylaştırmak amaçlı olacaktır.

  17. KİŞİSEL BİLGİLERİN İADESİ

     

    Hilton, Sağlayıcının Kişisel Bilgileri İşleme hakkını kendi takdirine bağlı olarak istediği zaman ve zaman zaman kısıtlama, durdurma, askıya alma, iptal, fesih etme veya değiştirme hakkına sahiptir. Sözleşmenin veya Sağlayıcının Hizmetleri sağlamasının fesih edilmesi veya sona ermesi veya Hilton’un talebi üzerine Sağlayıcı, elinde, yetkisi dahilinde veya kontrolünde bulunan tüm kişisel Bilgileri, Hilton tarafından makul surette talep edilen şekilde ve formatta iade edecek veya Hilton tarafından özellikle talep edilmesi halinde, imha edecek ve yürürlükteki Veri Koruma Gerekliliklerinde Kişisel Bilgilerin saklanması öngörülmedikçe, mevcut tüm kopyaları silecek ve bu işlemlerin her birini, yukarıda Madde 9(d)’de açıklandığı şekilde teyit edecek ve acenteleri ve Alt-Yüklenicilerinin anılan hususları yerine getirmesini sağlayacaktır.

  18. BU STANDARTLARDA YAPILACAK DEĞİŞİKLİKLER

     

    Hilton, bu Standartları istediği zaman ve zaman zaman kendi takdirine bağlı olarak değiştirebilir. Bu Standartlarda yapılacak değişiklikler, http://www.hiltondistribution.com/privacyanddataprotectionstandards.htm adresinde yayınlandığında Sağlayıcı bakımından bağlayıcı olacaktır;ncak, bunun için Sağlayıcıya, Politikada yapılan herhangi bir değişikliği uygulamak için makul bir süre verilmesi şarttır (bu süre, söz konusu değişikliği uygulamak için yürürlükteki yasa, kural veya yönetmelikle öngörülen süreyi aşmayacaktır). Sağlayıcı, değişiklik yapılıp yapılmadığını görmek için bu URL’yi düzenli olarak kontrol etmekle yükümlüdür. Politikada yapılan en son değişiklikler, Politikanın altında, “Hilton’un Hizmet Sağlayıcı Veri Koruma Standartlarına İlişkin Önemli Revizyonlar” başlıklı bölümde görünecektir.

  19. YÜRÜRLÜKTE KALMA, ÜÇÜNCÜ TARAF LEHTARLAR

     

    Sağlayıcının bu Standartlar kapsamındaki yükümlülükleri, hizmetlerinin veya ilgili anlaşmaların feshedilmesi veya sona ermesinden sonra da yürürlükte kalacak ve Sağlayıcı ya da acentelerinden veya Alt-Yüklenicilerinden herhangi biri Kişisel Bilgileri elinde bulundurduğu veya Kişisel Bilgilere erişim izni olduğu sürece devam edecektir. Sağlayıcı, yukarıda “Hilton” tanımında zikredilen her tüzel kişiliğin, Sağlayıcının Kişisel Bilgilere ilişkin yükümlülükleri dahil olmak, ancak bunlarla sınırlı olmamak üzere, Sağlayıcının bu Standartlar kapsamındaki yükümlülükleri ve sorumluluklarının üçüncü taraf lehtarı olduğunu ve bu itibarla, bunların her birinin, bu Standartları uygulama hakkına sahip olduğunu beyan ve kabul eder.

 

HILTON HİZMET SAĞLAYICI VERİ KORUMA STANDARTLARINDA YAPILAN ÖNEMLİ REVİZYONLAR

 

Son Güncelleme: Mart 2018

Mart 2018 Değişiklikler:

Mart 2017 Değişiklikler: