Kişisel Veri Güvenliği Politikaları

Kişisel veri güvenliği politikası
Özel nitelikli kişisel veri güvenliği politikası

Kişisel veri güvenliği politikası

  1. AMAÇ

    İşbu Kişisel Verilerin Korunması Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 5809 Sayılı Elektronik Haberleşme Kanunu (“5809 sayılı Kanun”) başta olmak üzere ilgili mevzuat hükümleri uyarınca Turknet İletişim Hizmetleri A.Ş.’nin (“TurkNet” veya “Şirket”) Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken uyması gereken esaslar ile takip edilecek yöntem ve süreçleri açıklamaktadır.
  2. TANIMLAR

    Aşağıdaki tablo 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a uygun olarak bu Politika’da geçen tanım ve kısaltmaları açıklamaktadır.
    5809 sayılı Kanun5809 Sayılı Elektronik Haberleşme Kanunu
    Açık rızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
    Aydınlatma MetniTurkNet Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni’ni
    BGYS Prosedürleri5809 sayılı Kanun, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili mevzuatında tanımlanan yükümlülükler kapsamında TurkNet tarafından kabul edilen Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri’ni
    ÇalışanTurkNet ile iş akdi çerçevesinde istihdam ilişkisi içinde olan kişi
    İlgili kişi/ veri sahibiKişisel verisi işlenen gerçek kişiyi
    Kişisel veriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
    Kişisel verilerin işlenmesiKişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi
    KurumKişisel Verileri Koruma Kurumu’nu
    KVKK6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’u
    Özel nitelikli kişisel veriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri
    Veri işleyenVeri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
    Veri sorumlusuKişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
    KomiteTurkNet Kişisel Veri Güvenliği Komitesi’ni
  3. KAPSAM

     

    1. Bu Politika TurkNet’in işlemekte olduğu Kişisel Verilere ilişkin tüm faaliyet ve süreçleri kapsamaktadır.
    2. Bu Politika TurkNet’in müşterileri, müşteri adayları, çalışanları, çalışan adayları, stajyerleri, mal veya hizmet tedarikçileri, alt yüklenicileri, ziyaretçileri, web-sitesi ziyaretçileri, iş ortakları ve bunların çalışan ve temsilcilerine ait Kişisel Verilerin işlenmesine ilişkindir.
    3. 5809 sayılı Elektronik Haberleşme Kanunu, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili diğer mevzuatta tanımlanan yükümlülükler kapsamında, TurkNet tarafından 91 adet politika veya prosedürden oluşan Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri (“BGYS Prosedürleri”) uygulanmaktadır. BGYS Prosedürleri mevzuat değişikliği veya yeni gelişmeler doğrultusunda zaman zaman gözden geçirilerek güncellenmektedir. Kişisel Verilere ilişkin alınan idari ve teknik tedbirlerde izlenen yöntem ve süreç detayları çeşitli BGYS Prosedürleri’nde tanımlanmış olup, bu Politika’da ilgili BGYS Prosedürleri’ne atıfta bulunulmuştur. Bu kapsamda, TurkNet aşağıda belirtilen kalite sertifikalarına sahiptir:

      ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi Sertifikası
      ISO 9001:2015 Kalite Yönetim Sistemi Sertifikası
      ISO 20000-1:2011 Bilgi Teknolojileri Hizmet Yönetim Sistemi Sertifikası
      ISO 22301:2012 İş Sürekliliği Yönetim Sistemi Sertifikası

  4. İLKELER

    TurkNet KVKK m.4 ve 5809 sayılı Kanun m.51’e uygun olarak Kişisel Verileri işlerken aşağıdaki ilkelere uyar:• Hukuka ve dürüstlük kurallarına uygunluk,
    • Doğru ve gerektiğinde güncel olacak şekilde,
    • Belirli açık ve meşru amaçlar için,
    • İşlendikleri amaçlarla bağlantılı, sınırlı ve ölçülü olarak,
    • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
    edilme.
  5. KİŞİSEL VERİLERİN İŞLENMESİ

     

    1. TurkNet KVKK m. 10 ve diğer ilgili mevzuata uygun olarak Aydınlatma Yükümlülüğü kapsamında bilgilendirme yaptıktan sonra Kişisel Verileri KVKK’ya uygun olarak işler. Bilgilendirme metni olan “TurkNet Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni” TurkNet web-sitesinde kamuya açık olarak yayınlanmakta ve Çağrı Merkezi’nde sözlü olarak dinlenebilmektedir.
    2. TurkNet Kişisel Verileri KVKK m. 5 uyarınca açık rızanın alınmasının gerekli olduğu durumlarda İlgili Kişi’nin açık rızasını almak suretiyle işler. Açık rıza alınmasının gerekli olmadığı aşağıdaki durumlarda ise açık rıza alınmaksızın Kişisel Veriler işlenir:

      a) Kanunlarda açıkça öngörülmesi.
      b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
      c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
      ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
      d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
      e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
      f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

    3. TurkNet aşağıdaki amaçlar ile sınırlı olarak KVKK m.5 ve m.6’ya uygun olarak Kişisel Verileri işler:

      a) Elektronik haberleşme ürün veya hizmetlerini sunmak, pazarlamak, tanıtmak ya da katma değerli hizmet sunmak,
      b) Sunduğumuz veya satın aldığımız ürün veya hizmetlere ilişkin sözleşmelerin (abonelik,
      cihaz alım/satım, danışmanlık vs) imzalanması, sözleşme süreçlerinin yürütülmesi,
      c) Sözleşmesel taahhütlerimizi yerine getirmek üzere faturalandırma yapılması, kimlik tespiti yapılması, aktivasyon süreçleri, arıza giderim süreçleri, iptal süreçleri, sözleşme akdedilmesinden başlayarak sonlandırmaya kadar yapılan tüm abonelik işlemleri,
      d) Çağrı merkezi hizmetlerinin sunulması, talep ve şikayet yönetimi, müşteri memnuniyetinin ölçülmesi, her tür müşteri ilişkileri faaliyetleri,
      e) Sunduğumuz hizmetlerin ölçümlenmesi, hizmetlerin iyileştirilmesi ve çeşitlendirilmesi, stratejik planlama faaliyetleri, pazarlama faaliyetleri
      f) Talebiniz üzerine abonelik sözleşmesi imzalamak amacıyla ürün ve hizmetlerimiz hakkında tarafınıza bilgi vermek,
      g) İnternet trafiğinin yönetimi, arabağlantı, faturalama, usulsüzlük/dolandırıcılık tespitleri ve benzeri işlemleri gerçekleştirmek veya tüketici şikâyetleri ile arabağlantı ve faturalama anlaşmazlıkları başta olmak üzere, uzlaşmazlıkların çözümü
      h) Şirketin denetim faaliyetlerinin yürütülmesi
      i) Şirkete ait bina, altyapı, operasyon ve şebeke güvenliğinin temini
      j) Finans ve muhasebe işlerinin yürütülmesi
      k) Sabit telefon hizmetleri kapsamında acil yardım çağrıları ile 5902 sayılı Afet ve Acil
      Durum Yönetimi Başkanlığının Teşkilat ve Görevleri Hakkında Kanunda tanımlanan afet ve acil durum hâllerinde,
      l) Düzenleyici ve denetleyici kurumlar ile yasal düzenlenmeler gereğince zorunlu kılınan raporlama, bilgi verme, denetim ve sair yükümlülüklerin yerine getirilmesi,
      m) Hukuki veya idari takip yollarına başvurulması.

    4. Özel Nitelikli Kişisel Veriler KVKK m.6 ve ilgili mevzuata uygun olarak açık rıza alınarak veya KVKK’da sayılan açık rıza alınmasına gerek olmayan hallerde açık rıza alınmaksızın hukuka uygun olarak ilgili çalışan taahhütnameleri alınmak suretiyle işlenmektedir. Bu konuda TurkNet Özel Nitelikli Kişisel Veri Güvenliği Politikası uygulanmaktadır.
  6. VERİ YÖNETİMİ VE GÜVENLİĞİ

     

    1. Kişisel Veri Güvenliği Amacıyla Alınan İdari Tedbirler

      • TurkNet’in Kişisel Verilere ilişkin yasal yükümlülüklerini yerine getirmek, işbu Politikanın uygulanmasını sağlamak ve denetlemek üzere, üyeleri ve çalışma şekli Yönetim Kurulu tarafından belirlenen bir Kişisel Veri Güvenliği Komitesi (“Komite”) kurulmuştur. Komite, Kişisel Veri güvenliğine ilişkin risk, gelişme ve diğer tüm hususları Risk Komitesi ve Yönetim Kurulu’na raporlar.
      • TurkNet tarafından işlenen Kişisel Verilere ilişkin envanter mevzuata uygun olarak hazırlanmış olup, gerektiğinde güncellenmektedir.
      • TurkNet çalışan, müşteri, tedarikçi, iş ortakları ve diğer üçüncü kişiler ile girdiği herhangi bir ilişki kapsamında Kişisel Veri işlenmesi veya aktarımının söz konusu olduğu durumlarda, ilgili işleme veya aktarımın KVKK ve ilgili mevzuata uygunluğunun sağlanmasını temin etmek üzere gerekli yükümlülük, taahhüt ve cezaları ilgili sözleşme içinde düzenlemekte veya bu konuda ayrı bir sözleşme imzalamaktadır.
      • Gerekli olması halinde, TurkNet kendi çalışanları, tedarikçilerinin, iş ortaklarının veya alt yüklenicilerinin çalışan veya temsilcilerine ilgili görev, iş veya sürecin gerektirdiği şekilde yazılı gizlilik taahhütnameleri imzalatarak bunları saklamakta veya tedarikçi, iş ortakları veya alt yüklenicileri tarafından saklanmalarını sağlamaktadır.
      • ISO27001 denetimleri her yıl bir kez gerçekleştirilmektedir. Bu kapsamda iç ve dış denetimler yapılmaktadır.
      • KVKK ve ilgili mevzuata uyum konusunda her yıl bir kez Şirket içinde denetim yapılmakta veya yaptırılmaktadır.
      • Çalışanlar ile imzalanan iş sözleşmelerinde Kişisel Verilerin korunmasına ilişkin maddeler bulunmakta veya ayrıca gerekli ise taahhütnameler imzalatılmaktadır.
      • Disiplin Yönetmeliğinde Kişisel Verilerin hukuka ve TurkNet Politikalarına aykırı şekilde işlenmesine ilişkin yaptırımlar belirlenmiş ve çalışanlar bunlar hakkında eğitimlerde bilgilendirilmektedir.
      • Tüm çalışanlara yılda bir kez Kişisel Veri Güvenliği Eğitimi verilmektedir. Eğitimlerde özetle KVKK’ya ilişkin genel bilgiler, Kişisel Verileri Koruma Kurumu ve dünyadaki diğer düzenleyici kuruluşlar tarafından verilen karar örnekleri, veri güvenliği için alınması gereken önlemler ve mevzuatta düzenlenen cezalar anlatılmakta ve eğitimin sonunda sınav yapılmaktadır.
    2. Kişisel Veri Güvenliği Amacıyla Alınan Teknik Tedbirler

      • Şirketimizde ISO 27001 Bilgi Yönetim Sistemi işletilmektedir. Aşağıda anılan tedbirler ilgili BGYS prosedürü kapsamında detaylı olarak ele alınmaktadır.
      • İlgili birimlerde teknik konularda bilgili personel istihdam edilmektedir.
      • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi erişim yetki matrisi ile kurumsal uygulamalar üzerinden güvenlik politikaları aracılığı ile yapılmaktadır. Yeni pozisyonlara göre gerekli yetki tanımları ihtiyaç doğdukça yapılmakta ve yetki matrisi yılda bir kez gözden
      geçirilmektedir.
      • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
      • Çalışanların yetki tanım ve eğitimleri “izin verilmedikçe yasaktır” esasına uygun yapılmakta ve
      gerekli taahhütler alınmaktadır.
      • Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
      sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
      • Bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testleri yapılmakta ve ortaya çıkan risk, tehdit, zafiyet ve varsa açıklıklar ortaya
      çıkarılarak gerekli önlemler alınmaktadır.
      • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
      • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
      • Bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler, anti-virus ve firewall (güvenlik duvarı) gibi uygulamalar kullanılmaktadır.
      • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
      • Tüm kullanıcı hesaplarında güçlü şifre algoritması uygulanmaktadır. Şifre giriş deneme sayısı limitlenmektedir. Düzenli aralıklarla parola değişimi sağlanmaktadır. Yönetici yetkisi sadece yetkili kullanıcılarda bulunmaktadır. İşten ayrılan kullanıcıların hesapları en kısa sürede
      kapatılmaktadır.
      • Kişisel dizüstü bilgisayarlarda disk şifreleme yapılmaktadır.
      • Kişisel verilerin tutulduğu sunucular encrypt edilmektedir.
      • Harici bellek kullanımları çalışan rol bazında sınırlandırılmakta, çalışanların ait oldukları rollere
      bağlı olarak hariç belleklere erişimleri sınırlandırılmaktadır ve kontrol edilmektedir.
      • Üç ayda bir PCI taraması ile zafiyet ve güvenlik kontrolleri uzaktan erişim yolu ile yapılmaktadır.
      • Erişim logları düzenli olarak tutulmaktadır.
      • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
      • Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler
      alınmaktadır.
      • TurkNet’in kullanmakta olduğu binaların (Şirket merkez binası ve veri merkezi) güvenliğinin
      sağlanması amacıyla kamera kaydı alınmak suretiyle Kişisel Veriler işlenmektedir. Kamera sayısı, konum ve kayıt süreleri yasal düzenlemelere gereğince amaç ile sınırlılık ilkesine uygun olarak belirlenmektedir.
      • Kamera kayıtları için güvenlik firmasından hizmet alınmaktadır. Kamera kayıtlarına gizlilik taahhütnamesi imzalamış olan yetkili personel tarafından erişim sağlanmaktadır.
      • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
      • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
      • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
      • Veri kaybı önleme yazılımları kullanılmaktadır. Bu kapsamda, sistemlerde veri kaybı ve veri
      kaçırmasının önlenmesi için DLP modülü kullanılmaktadır.
    3. Web-sitesi, Uygulamalar ve Çerezler

      TurkNet internet üzerinden web-sitesi ve OIM uygulaması, cep telefonu üzerinden MOIM uygulaması ile her tür abonelik işlemleri, pazarlama ve müşteri hizmetleri faaliyetlerini yürütmektedir. Bu çerçevede güvenlik önlemleri olarak periyodik sızma testi yapılmakta, kullanıcı adı ve şifre ile erişim sağlanmakta, GUID kullanımı gibi güvenli yazılım yöntemleri, ve Web sunucu sistemin ulaştığı sistemlerin önünde Güvenlik Duvarı sistemi kullanılmaktadır. Çerez politikası TurkNet web-sitesinde yayınlanmaktadır.
  7. İHLALLER

    Veri güvenliği zayıflık veya ihlal olayı halinde ilgili çalışan durumu derhal bir üst Yöneticisine ve BGYS Yöneticisi’ne önce sözlü sonra e-posta ile raporlar. Veri güvenlik ihlal olayı P.16-1 ve P.16-2 BGYS Prosedürlerine uygun olarak raporlanır ve çözümlenir. Çalışanlara verilen Kişisel Veri Eğitimlerinde prosedürler ayrıntılı olarak açıklanır ve prosedürler çalışanların erişimine açık tutulur.
  8. KİŞİSEL VERİ SAHİBİNİN (İLGİLİ KİŞİ) HAKLARI

     

    1. TurkNet, Veri Sahiplerine (İlgili Kişilere) KVKK m.11 uyarınca kişisel verilerin korunması ile ilgili olarak aşağıdaki haklara sahip oldukları hakkında bilgi verir:• Kişisel verinizin işlenip işlenmediğini öğrenme,
      • Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme,
      • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
      • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
      • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
      isteme, düzeltme yapılması halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
      • Kanun’un 7. maddesi çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, silme veya yok edilmesi halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
      • İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi sonucunda aleyhinize bir sonuç ortaya çıkması halinde itiraz etme,
      • Kişisel verinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
    2. Veri sahipleri ayrıca yukarıda belirtilen hakları kullanmak ve talepte bulunmak için web- sitesinde bulunan başvuru formunu doldurabilecekleri ya da kendi hazırlayacakları dilekçeyi (Bu dilekçe şunları içermelidir: adınız, soyadınız, TCKN’niz, cevap almak istediğiniz adresiniz, e- posta adresiniz veya faks numaranız, başvuru tarihiniz, talebinize ilişkin detaylı açıklamalarınız) imzalı olarak aşağıdaki yöntemler ile iletebilecekleri hakkında bilgilendirilir:
 BAŞVURU YÖNTEMİBAŞVURU YAPILACAK ADRESEKLER
1. Yazılı Olarak Elden Teslim BaşvuruIslak imzalı başvuru formunu elden teslimFulya Mah. Büyükdere Cad. Torun Center A Blok Apt. No:74 A/89 Şişli/ İSTANBULNüfus cüzdanınızın ön yüzünün fotokopisi eklenecektir.
2. Yazılı Olarak Noter AracılığıylaNoterde düzenlemeFulya Mah. Büyükdere Cad. Torun Center A Blok Apt. No:74 A/89 Şişli/ İSTANBUL
3. Kayıtlı Elektronik Posta (KEP) YoluylaKayıtlı elektronik posta (KEP) adresiniz ileturknet@hs01.kep.tr
4. TurkNet Sisteminde Kayıtlı Bulunan Elektronik Posta Adresiniz ile BaşvuruTurkNet sisteminde kayıtlı bulunan elektronik posta adresiniz kullanılmak suretiylekvkk@turknet.net.tr
5. Turknet Sisteminde Bulunmayan Başka Bir Elektronik Posta Adresi ile BaşvuruSize ait mobil imza/e-imza ile imzalanmış yazılı bir dilekçe belgesi olmalıdır. Bu dilekçe şu bilgileri içermelidir: (Ad, soyad, TCKN, cevabınızı almak istediğiniz adres veya e-posta adresiniz, talebinize ilişkin açıklamalarınız)kvkk@turknet.net.tr
 
    1. 3. TurkNet, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurum tarafından belirlenen tarifedeki ücret alınabilir. Şirket, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir.
  1. POLİTİKANIN YÜRÜRLÜĞÜ Bu Politika Komite tarafından hazırlanır, Yönetim Kurulu tarafından onaylanır. Bu Politika ve Politika’da yapılan değişiklikler çalışanlara e-posta ile duyurulur ve TurkNet web- sitesinde yayınlanır. Bu Politika mevzuat değişiklikleri veya Şirketin ihtiyaçları doğrultusunda yılda en az bir kez olmak üzere gözden geçirilerek, gerekli ise güncellenir. Değişiklikler Politika’nın sonunda tarih ve sayısı ile belirtilir.

    Yürürlük ve Değişiklikler:

    Yürürlük Tarihi:07.02.2020Belge Numarası:1
    Değişiklik Tarihi:30.04.2021Belge Numarası:2

Özel nitelikli kişisel veri güvenliği politikası

  1. AMAÇ

    İşbu TurkNet Özel Nitelikli Kişisel Veri Güvenliği Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih ve 2018/10 sayılı “Özel Nitelikli Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gerekli Yeterli Önlemler” konulu kararı (”Kurul Kararı”) başta olmak üzere ilgili mevzuat hükümleri uyarınca Turknet İletişim Hizmetleri A.Ş.’nin (“TurkNet” veya “Şirket”) özel nitelikli kişisel verileri korumaya yönelik yükümlülüklerini yerine getirirken uyması gereken esaslar ile takip edilecek yöntem ve süreçleri açıklamaktadır.
  2. TANIMLAR

    Aşağıdaki tablo 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a uygun olarak bu Politika’da geçen tanım ve kısaltmaları açıklamaktadır.

    5809 sayılı Kanun5809 Sayılı Elektronik Haberleşme Kanunu
    Açık rızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
    Aydınlatma MetniTurkNet Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni’ni
    BGYS Prosedürleri5809 sayılı Kanun, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili mevzuatında tanımlanan yükümlülükler kapsamında TurkNet tarafından kabul edilen Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri’ni
    ÇalışanTurkNet ile iş akdi çerçevesinde istihdam ilişkisi içinde olan kişi
    İlgili kişi/ veri sahibiKişisel verisi işlenen gerçek kişiyi
    Kişisel veriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
    Kişisel verilerin işlenmesiKişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi
    KurumKişisel Verileri Koruma Kurumu’nu
    KVKK6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’u
    Özel nitelikli kişisel veriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri
    Veri işleyenVeri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
    Veri sorumlusuTurkNet iletişim Hizmetleri A.Ş.’yi
    KomiteTurkNet Kişisel Veri Güvenliği Komitesi’ni
  3. KAPSAM

    1. Bu Politika TurkNet’in işlemekte olduğu Özel Nitelikli Kişisel Verilere ilişkin tüm faaliyet ve süreçleri kapsamaktadır.
    2. Bu Politika TurkNet’in müşterileri, müşteri adayları, çalışanları, çalışan adayları, stajyerleri, mal veya hizmet tedarikçileri, alt yüklenicileri, iş ortakları ve bunların çalışan ve temsilcilerine ait Özeli Nitelikli Kişisel Verilerin işlenmesine ilişkindir.
    3. 5809 sayılı Kanun, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili diğer mevzuatta tanımlanan yükümlülükler kapsamında, TurkNet tarafından 91 adet politika veya prosedürden oluşan Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri (“BGYS Prosedürleri”) uygulanmaktadır. BGYS Prosedürleri mevzuat değişikliği veya yeni gelişmeler doğrultusunda zaman zaman gözden geçirilerek güncellenmektedir. Özel Nitelikli Kişisel Verilere ilişkin alınan idari ve teknik tedbirlerde izlenen yöntem ve süreç detayları çeşitli BGYS Prosedürleri’nde tanımlanmıştır.
  4. İLKELER

    TurkNet KVKK m.4 ve 5809 sayılı Kanun m.51’e uygun olarak Kişisel Verileri işlerken aşağıdaki ilkelere uyar:• Hukuka ve dürüstlük kurallarına uygunluk,
    • Doğru ve gerektiğinde güncel olacak şekilde,
    • Belirli açık ve meşru amaçlar için,
    • İşlendikleri amaçlarla bağlantılı, sınırlı ve ölçülü olarak,
    • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
  5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
    1. TurkNet KVKK m. 10 ve diğer ilgili mevzuata uygun olarak Aydınlatma Yükümlülüğü kapsamında bilgilendirme yaptıktan sonra Özel Nitelikli Kişisel Verileri KVKK’na uygun olarak işler. Bilgilendirme metni olan “TurkNet Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni” TurkNet web-sitesinde kamuya açık olarak yayınlanmakta ve Çağrı Merkezi’nde sözlü olarak dinlenebilmektedir.
    2. TurkNet Açık Rıza alınması gereken hallerde Açık Rıza alınmak suretiyle verileri işlemektedir.
    3. KVKK m.6/(3) uyarınca sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Bu kapsamda Turknet anılan Kurul Kararında belirtilen önlemleri almak suretiyle aşağıdaki hallerde Özel Nitelikli Kişisel Verileri Açık Rıza almaksızın işlemektedir:

      a) Kanunlarda açıkça öngörülmesi.
      b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
      c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
      ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
      d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
      e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
      f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
    4. Yine KVKK m.6/(3)’da düzenlendiği üzere sağlığa ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin Açık Rızası aranmaksızın işlenebilir. TurkNet bu kapsamda sır saklama yükümlülüğü altında sağlık verilerini işlemektedir.
  6. VERİ YÖNETİMİ VE GÜVENLİĞİKurul Kararı doğrultusunda Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. Bu kapsamda;


     

    1. Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan Çalışanlara yönelik,

      • Veri güvenliği konularında düzenli olarak eğitimler verilmektedir, • Gizlilik sözleşmeleri yapılmaktadır,
      • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır,
      • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
      • Görev değişikliği olan ya da işten ayrılan Çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, TurkNet tarafından kendisine tahsis edilen belge ve envanter iade alınmaktadır.
    2. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir,

      • Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
      • Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
    3. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

      • Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır,
      • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmesi amacıyla TurkNet’in kullanmakta olduğu binalar (Şirket merkez binası ve veri merkezi) kamera kaydı alınmak suretiyle izlenmektedir. Kamera sayısı, konum ve kayıt süreleri yasal düzenlemelere gereğince amaç ile sınırlılık ilkesine uygun olarak belirlenmektedir.
    4. Özel Nitelikli Kişisel Veriler aktarılırken;• Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,

      • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır,
      • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir,
      • Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “Gizli ” formatta gönderilmektedir.
  7. İHLALLER

    Veri güvenliği zayıflık veya ihlal olayı halinde ilgili çalışan durumu derhal bir üst Yöneticisine ve BGYS Yöneticisi’ne önce sözlü sonra e-posta ile raporlar. Veri güvenlik ihlal olayı P.16-1 ve P.16-2 BGYS Prosedürlerine uygun olarak raporlanır ve çözümlenir. Çalışanlara verilen Kişisel Veri Eğitimlerinde prosedürler ayrıntılı olarak açıklanır ve prosedürler çalışanların erişimine açık tutulur.
  8. POLİTİKANIN YÜRÜRLÜĞÜ

    Bu Politika Komite tarafından hazırlanır, Yönetim Kurulu tarafından onaylanır. Bu Politika ve Politika’da yapılan değişikliklerin çalışanlara e-posta ile duyurulması ve TurkNet web- sitesinde yayınlanmasından Komite sorumludur. Bu Politika mevzuat değişiklikleri veya Şirketin ihtiyaçları doğrultusunda yılda en az bir kez olmak üzere Komite tarafından gözden geçirilerek, gerekli ise güncellenir. Değişiklikler Politika’nın sonunda tarih ve sayısı ile belirtilir.

    Yürürlük ve Değişiklikler:

    Yürürlük Tarihi:30.04.2021Belge Numarası:1
    Değişiklik Tarihi:30.04.2021Belge Numarası:1
Bireysel
KOBİ
Kurumsal
Wholesale