Gizlilik ve Kişisel Verilerin Korunması
TurkNet KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI
Aşağıdaki tablo 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a uygun olarak bu Politika’da geçen tanım ve kısaltmaları açıklamaktadır.
| 5809 sayılı Kanun | 5809 Sayılı Elektronik Haberleşme Kanunu |
|---|---|
| Açık rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı Aydınlatma |
| Aydınlatma Metni | TurkNet Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni’ni |
| BGYS Prosedürleri | 5809 sayılı Kanun, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili mevzuatında tanımlanan yükümlülükler kapsamında TurkNet tarafından kabul edilen Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri’ni |
| Çalışan | TurkNet ile iş akdi çerçevesinde istihdam ilişkisi içinde olan kişi |
| İlgili kişi/ veri sahibi | Kişisel verisi işlenen gerçek kişiyi |
| Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi |
| Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi |
| Kurum | Kişisel Verileri Koruma Kurumu’nu |
| KVKK | 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’u |
| Özel nitelikli kişisel veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri |
| Veri işleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi |
| Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi |
| Komite | TurkNet Kişisel Veri Güvenliği Komitesi’ni |
I. AMAÇ
İşbu Kişisel Verilerin Korunması Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 5809 Sayılı Elektronik Haberleşme Kanunu (“5809 sayılı Kanun”) başta olmak üzere ilgili mevzuat hükümleri uyarınca TurkNet İletişim Hizmetleri A.Ş.’nin (“TurkNet” veya “Şirket”) Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken uyması gereken esaslar ile takip edilecek yöntem ve süreçleri açıklamaktadır.
II. KAPSAM
2.1. Bu Politika TurkNet’in işlemekte olduğu Kişisel Verilere ilişkin tüm faaliyet ve süreçleri kapsamaktadır.
2.2 . Bu Politika TurkNet’in müşterileri, müşteri adayları, çalışanları, çalışan adayları, stajyerleri, mal veya hizmet tedarikçileri, alt yüklenicileri, ziyaretçileri, web-sitesi ziyaretçileri, iş ortakları ve bunların çalışan ve temsilcilerine ait Kişisel Verilerin işlenmesine ilişkindir.
2.3. 5809 sayılı Elektronik Haberleşme Kanunu, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili diğer mevzuatta tanımlanan yükümlülükler kapsamında, TurkNet tarafından 91 adet politika veya prosedürden oluşan Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri (“BGYS Prosedürleri”) uygulanmaktadır. BGYS Prosedürleri mevzuat değişikliği veya yeni gelişmeler doğrultusunda zaman zaman gözden geçirilerek güncellenmektedir. Kişisel Verilere ilişkin alınan idari ve teknik tedbirlerde izlenen yöntem ve süreç detayları çeşitli BGYS Prosedürleri’nde tanımlanmış olup, bu Politika’da ilgili BGYS Prosedürleri’ne atıfta bulunulmuştur. Bu kapsamda, TurkNet aşağıda belirtilen kalite sertifikalarına sahiptir:
- ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Sertifikası
- ISO 9001:2015 Kalite Yönetim Sistemi Sertifikası
- ISO 20000-1:2011 Bilgi Teknolojileri Hizmet Yönetim Sistemi Sertifikası
- ISO 22301:2012 İş Sürekliliği Yönetim Sistemi Sertifikası
III. İLKELER
- TurkNet KVKK m.4 ve 5809 sayılı Kanun m.51’e uygun olarak Kişisel Verileri işlerken aşağıdaki ilkelere uyar:
- Hukuka ve dürüstlük kurallarına uygunluk,
- Doğru ve gerektiğinde güncel olacak şekilde,
- Belirli açık ve meşru amaçlar için,
- İşlendiklerim amaçlarla bağlantılı, sınırlı ve ölçülü olarak,
- KVKK’da öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
IV. KİŞİSEL VERİLERİN İŞLENMESİ
4.1. TurkNet KVKK m.10 ve diğer ilgili mevzuata uygun olarak Aydınlatma Yükümlülüğü kapsamında bilgilendirme yaptıktan sonra Kişisel Verileri KVKK’ya uygun olarak işler. Bilgilendirme metni olan “TurkNet Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni” TurkNet web-sitesinde kamuya açık olarak yayınlanmakta ve Çağrı Merkezi’nde sözlü olarak dinlenebilmektedir.
4.2. TurkNet Kişisel Verileri KVKK m.5 uyarınca açık rızanın alınmasının gerekli olduğu durumlarda İlgili Kişi’nin açık rızasını almak suretiyle işler. Açık rıza alınmasının gerekli olmadığı aşağıdaki durumlarda ise açık rıza alınmaksızın Kişisel Veriler işlenir:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.3. TurkNet aşağıdaki amaçlar ile sınırlı olarak KVKK m.5 ve m.6’ya uygun olarak Kişisel Verileri işler:
a) Telekomünikasyon ürün veya hizmetlerini sunmak, pazarlamak, tanıtmak ya da katma değerli hizmet sunmak,
b) Sunduğumuz ürün veya hizmetlere ilişkin indirim, kampanya ve ücretlendirmelere ilişkin bilgilendirme yapmak,
c) Sunduğumuz hizmetlerin ölçümlenmesi, hizmetlerin iyileştirilmesi ve çeşitlendirilmesi, strateji belirlenmesi,
d) Yararlanmakta olduğunuz hizmetler ile ilgili faturalandırma yapılması, kimlik tepiti, sözleşme akdedilmesinden başlayarak sonlandırmaya kadar yapılan tüm abonelik işlemleri, çağrı merkezi hizmetlerinin sunulması, talep ve şikayet yönetimi, müşteri memnuniyetinin ölçülmesi, her tür müşteri ilişkileri faaliyetleri,
e) Düzenleyici ve denetleyici kurumlar ile yasal düzenlenmeler gereğince zorunlu kılınan raporlama ve sair yükümlülüklerin yerine getirilmesi,
f) Hukuki veya idari takip yollarına başvurulması.
4.4. Özel Nitelikli Kişisel Veriler KVKK m.6 ve ilgili mevzuata uygun olarak açık rıza alınmak veya hukuka uygun olarak ilgili çalışan taahhütnameleri alınmak suretiyle işlenmektedir.
V. VERİ YÖNETİMİ VE GÜVENLİĞİ
5.1. Kişisel Veri Güvenliği Amacıyla Alınan İdari Tedbirler
- TurkNet’in Kişisel Verilere ilişkin yasal yükümlülüklerini yerine getirmek, işbu Politikanın uygulanmasını sağlamak ve denetlemek üzere, üyeleri ve çalışma şekli Yönetim Kurulu tarafından belirlenen bir Kişisel Veri Güvenliği Komitesi (“Komite”) kurulmuştur. Komite, Kişisel Veri güvenliğine ilişkin risk, gelişme ve diğer tüm hususları Risk Komitesi ve Yönetim Kurulu’na raporlar.
- TurkNet tarafından işlenen Kişisel Verilere ilişkin envanter mevzuata uygun olarak hazırlanmış olup, gerektiğinde güncellenmektedir.
- TurkNet çalışan, müşteri, tedarikçi, iş ortakları ve diğer üçüncü kişiler ile girdiği herhangi bir ilişki kapsamında Kişisel Veri işlenmesi veya aktarımının söz konusu olduğu durumlarda, ilgili işleme veya aktarımın KVKK ve ilgili mevzuata uygunluğunun sağlanmasını temin etmek üzere gerekli yükümlülük, taahhüt ve cezaları ilgili sözleşme içinde düzenlemekte veya bu konuda ayrı bir sözleşme imzalamaktadır.
- Gerekli olması halinde, TurkNet kendi çalışanları, tedarikçilerinin, iş ortaklarının veya alt yüklenicilerinin çalışan veya temsilcilerine ilgili görev, iş veya sürecin gerektirdiği şekilde yazılı gizlilik taahhütnameleri imzalatarak bunları saklamakta veya tedarikçi, iş ortakları veya alt yüklenicileri tarafından saklanmalarını sağlamaktadır.
- ISO27001 denetimleri her yıl bir kez gerçekleştirilmektedir. Bu kapsamda iç ve dış denetimler yapılmaktadır.
- Çalışanlar ile imzalanan iş sözleşmelerinde Kişisel Verilerin korunmasına ilişkin maddeler bulunmakta veya ayrıca taahhüt imzalatılmaktadır.
- Disiplin Yönetmeliğinde Kişisel Verilerin hukuka ve TurkNet Politikalarına aykırı şekilde işlenmesine ilişkin yaptırımlar belirlenmiş ve çalışanlar bunlar hakkında eğitimlerde bilgilendirilmektedir.
- Tüm çalışanlara yılda bir kez Kişisel Veri Güvenliği Eğitimi verilmektedir. Eğitimlerde özetle KVKK’ya ilişkin genel bilgiler, Kişisel Verileri Koruma Kurumu ve dünyadaki diğer düzenleyici kuruluşlar tarafından verilen karar örnekleri, veri güvenliği için alınması gereken önlemler ve mevzuatta düzenlenen cezalar anlatılmakta ve eğitimin başında ve sonunda sınav yapılmaktadır.
5.2. Kişisel Veri Güvenliği Amacıyla Alınan Teknik Tedbirler
- Şirketimizde ISO 27001 Bilgi Yönetim Sistemi işletilmektedir. Aşağıda anılan tedbirler ilgili BGYS prosedürü kapsamında detaylı olarak ele alınmaktadır.
- İlgili birimlerde teknik konularda bilgili personel istiham edilmektedir.
- Çalışanların yetki tanım ve eğitimleri “izin verilmedikçe yasaktır” esasına uygun yapılmakta ve gerekli taahhütler alınmaktadır.
- Bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla anti-virus ve firewall uygulamaları kullanılmaktadır.
- Kişisel Verilerin güvenli şekilde saklanması için uygun yedekleme program ve yöntemleri kullanılmaktadır.
- Kullanıcı hesapları ve şifreleme süreçleri BGYS Prosedürleri kapsamında üst düzey koruma önlemleri alınarak hassasiyetle yürütülmektedir.
- Harici bellek kullanımları çalışan rol bazında sınırlandırılmaktadır.
- Şirketin kullandığı bilgisayar programlarında kullanıcı hesaplarına rol bazında yetkiler tanımlanmaktadır. Bu yetkilerin kontrol süreci yılda bir kez yapılmaktadır.
- Üç ayda bir PCI taraması ile zaafiyet ve güvenlik kontrolleri uzaktan erişim yolu ile yapılmaktadır.
- Sistem LOG kayıtları tutulmaktadır. Veritaban LOG’ları zaman damgası ile damgalanarak arşivlenmektedir.
- Sistem arayüzlerinde kişisel veriler ya hiç gösterilmemekte, ya da maskelenmektedir. Hizmet tedarikçilerimize yapılan veya kamu kurumlarına yasal mevzuat gereği zorunlu yapılan veri aktarımlarında, sadece ilgili verilerin paylaşılmasının sağlanması amacıyla maskemele veya karartma yöntemleri uygulanmaktadır.
- TurkNet’in kullanmakta olduğu binaların (Şirket merkez binası ve veri merkezi) güvenliğinin sağlanması amacıyla kamera kaydı alınmak suretiyle Kişisel Veriler işlenmektedir. Kamera sayısı, konum ve kayıt süreleri yasal düzenlemelere gereğince amaç ile sınırlılık ilkesine uygun olarak belirlenmektedir.
- Kamera kayıtları için güvenlik firmasından hizmet alınmaktadır. Kamera kayıtlarına gizlilik taahhütnamesi imzalamış olan yetkili personel tarafından erişim sağlanmaktadır.
5.3. Web-sitesi, Uygulamalar ve Çerezler
TurkNet internet üzerinden web-sitesi ve TurkNet Online İşlem Merkezi uygulaması, cep telefonu üzerinden MOIM uygulaması ile her tür abonelik işlemleri, pazarlama ve müşteri hizmetleri faaliyetlerini yürütmektedir. Bu çerçevede güvenlik önlemleri olarak periyodik sızma testi yapılmakta, kullanıcı adı ve şifre ile erişim sağlanmakta, GUID kullanımı gibi güvenli yazılım yöntemleri, ve Web sunucu sistemin ulaştığı sistemlerin önünde Güvenlik Duvarı sistemi kullanılmaktadır.
Çerez politikası TurkNet web-sitesinde yayınlanmaktadır.
VI. İHLALLER
Veri güvenliği zayıflık veya ihlal olayı halinde ilgili çalışan durumu derhal bir üst Yöneticisine ve BGYS Yöneticisi’ne önce sözlü sonra e-posta ile raporlar. Veri güvenlik ihlal olayı P.16-1 ve P.16-2 BGYS Prosedürlerine uygun olarak raporlanır ve çözümlenir. Çalışanlara verilen Kişisel Veri Eğitimlerinde prosedürler ayrıntılı olarak açıklanır ve prosedürler çalışanların erişimine açık tutulur.
VII. KİŞİSEL VERİ SAHİBİNİN (İLGİLİ KİŞİ) HAKLARI
7.1. TurkNet, Veri Sahiplerine (İlgili Kişilere) KVKK m.11 uyarınca kişisel verilerin korunması ile ilgili olarak aşağıdaki haklara sahip oldukları hakkında bilgi verir:
- Kişisel verinizin işlenip işlenmediğini öğrenme,
- Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, düzeltme yapılması halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
- Kanun’un 7. Maddesi çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, silme veya yok edilmesi halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi sonucunda aleyhinize bir sonuç ortaya çıkması halinde itiraz etme,
- Kişisel verinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
7.2. Veri sahipleri ayrıca yukarıda belirtilen hakları kullanmak ve talepte bulunmak için websitesinde bulunan başvuru formunu doldurabilecekleri ya da kendi hazırlayacakları dilekçeyi (Bu dilekçe şunları içermelidir: adınız, soyadınız, TCKN’niz, cevap almak istediğiniz adresiniz, e-posta adresiniz veya faks numaranız, başvuru tarihiniz, talebinize ilişkin detaylı açıklamalarınız) imzalı olarak aşağıdaki yöntemler ile iletebilecekleri hakkında bilgilendirilir:
| BAŞVURU YÖNTEMİ | BAŞVURU YAPILACAK ADRES | EKLER | |
|---|---|---|---|
| 1. Yazılı Olarak Elden Teslim Başvuru | Islak imzalı başvuru formunu elden teslim | Fulya Mahallesi Büyükdere Cad. Torun Center A Blok Apt. No:74 A/89 Şişli/ İSTANBUL | Nüfus cüzdanınızın ön yüzünün fotokopisi eklenecektir. |
| 2. Yazılı Olarak Noter Aracılığıyla | Noterde düzenleme | Fulya Mahallesi Büyükdere Cad. Torun Center A Blok Apt. No:74 A/89 Şişli/ İSTANBUL | - |
| 3. Kayıtlı Elektronik Posta (KEP) Yoluyla | Kayıtlı elektronik posta (KEP) adresi ile | TurkNet@hs01.kep.tr | - |
| 4. TurkNet Sisteminde Kayıtlı Bulunan Elektronik Posta Adresiniz ile Başvuru | Şirketimizin sisteminde kayıtlı bulunan elektronik posta adresiniz kullanılmak suretiyle | kvkk@TurkNet.net.tr | - |
| 5. TurkNet Sisteminde Bulunmayan Başka Bir Elektronik Posta Adresi ile Başvuru | Size ait mobil imza/eimza ile imzalanmış yazılı bir dilekçe belgesi olmalıdır. Bu dilekçe şu bilgileri içermelidir: (Ad, soyad, TCKN, cevabınızı almak istediğiniz adres veya e-posta adresiniz, talebinize ilişkin açıklamalarınız ) | kvkk@TurkNet.net.tr | - |
7.3. TurkNet, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurum tarafından belirlenen tarifedeki ücret alınabilir. Şirket, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir.
VIII. POLİTİKANIN YÜRÜRLÜĞÜ
Bu Politika Komite tarafından hazırlanır, Yönetim Kurulu tarafından onaylanır ve yayım tarihinde yürürlüğe girer. Bu Politika ve Politika’da yapılan değişiklikler çalışanlara e-posta ile duyurulur ve TurkNet websitesinde yayınlanır. Bu Politika mevzuat değişiklikleri veya Şirketin ihtiyaçları doğrultusunda yılda en az bir kez olmak üzere gözden geçirilerek, gerekli ise güncellenir. Değişiklikler Politika’nın sonunda tarih ve sayısı ile belirtilir.
Yürürlük ve Değişiklikler:
| Yürürlük Tarihi: | 07.02.2020 | Belge Numarası: | 1 |
|---|---|---|---|
| Değişiklik Tarihi: | - | Belge Numarası: | - |