SONET KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

Sonet İnternet Erişim Hizmetleri San. Ve Tic. LTD. ŞTİ. kişisel verilerinizin hukuka uygun olarak toplanması, saklanması ve paylaşılmasını sağlamak ve gizliliğinizi korumak amacıyla mümkün olan en üst seviyede güvenlik tedbirlerini almaktadır.


Amacımız; 6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi gereğince ve sizlerin memnuniyeti doğrultusunda, kişisel verilerinizin alınma şekilleri, işlenme amaçları, paylaşılan kişiler, hukuki nedenleri ve haklarınız konularında sizi en şeffaf şekilde bilgilendirmektir.



5809 sayılı Kanun

5809 Sayılı Elektronik Haberleşme Kanunu

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı Aydınlatma Metni

Aydınlatma Metni

Sonet İnternet Erişim Hizmetleri San. Ve Tic. LTD. ŞTİ. ("Sonet") Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni’ni sonet.com.tr üzerinden bulabilirsiniz.

BGYS Prosedürleri

5809 sayılı Kanun, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili mevzuatında tanımlanan yükümlülükler kapsamında Sonet tarafından kabul edilen Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri’ni

Çalışan

Sonet ile iş akdi çerçevesinde istihdam ilişkisi içinde olan kişi

İlgili kişi/ veri sahibi

Kişisel verisi işlenen gerçek kişiyi

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi

Kurum

Kişisel Verileri Koruma Kurumu’nu

KVKK

6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’u

Özel nitelikli kişisel veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi

Komite

Sonet Kişisel Veri Güvenliği Komitesi’ni

 

A. AMAÇ

İşbu Kişisel Verilerin Korunması Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 5809 Sayılı Elektronik Haberleşme Kanunu (“5809 sayılı Kanun”) başta olmak üzere ilgili mevzuat hükümleri uyarınca Sonet İletişim Hizmetleri A.Ş.’nin (“Sonet” veya “Şirket”) Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken uyması gereken esaslar ile takip edilecek yöntem ve süreçleri açıklamaktadır.

 

B. KAPSAM

2.1. Bu Politika Sonet’in işlemekte olduğu Kişisel Verilere ilişkin tüm faaliyet ve süreçleri kapsamaktadır.

2.2. Bu Politika Sonet’in müşterileri, müşteri adayları, çalışanları, çalışan adayları, stajyerleri, mal veya hizmet tedarikçileri, alt yüklenicileri, ziyaretçileri, web-sitesi ziyaretçileri, iş ortakları ve bunların çalışan ve temsilcilerine ait Kişisel Verilerin işlenmesine ilişkindir.

2.3. 5809 sayılı Elektronik Haberleşme Kanunu, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili diğer mevzuatta tanımlanan yükümlülükler kapsamında, Sonet tarafından 91 adet politika veya prosedürden oluşan Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri (“BGYS Prosedürleri”) uygulanmaktadır.

 

C. İLKELER

  • Sonet KVKK m.4 ve 5809 sayılı Kanun m.51’e uygun olarak Kişisel Verileri işlerken aşağıdaki ilkelere uyar:
  • Hukuka ve dürüstlük kurallarına uygunluk,
  • Doğru ve gerektiğinde güncel olacak şekilde,
  • Belirli açık ve meşru amaçlar için,
  • İşlendiklerim amaçlarla bağlantılı, sınırlı ve ölçülü olarak,
  • KVKK’da öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

Ç. KİŞİSEL VERİLERİN İŞLENMESİ

4.1. Sonet KVKK m.10 ve diğer ilgili mevzuata uygun olarak Aydınlatma Yükümlülüğü kapsamında bilgilendirme yaptıktan sonra Kişisel Verileri KVKK’ya uygun olarak işler. Bilgilendirme metni olan “Sonet Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni” Sonet web-sitesinde kamuya açık olarak yayınlanmakta ve Çağrı Merkezi’nde sözlü olarak dinlenebilmektedir.

4.2. Sonet Kişisel Verileri KVKK m.5 uyarınca açık rızanın alınmasının gerekli olduğu durumlarda İlgili Kişi’nin açık rızasını almak suretiyle işler. Açık rıza alınmasının gerekli olmadığı aşağıdaki durumlarda ise açık rıza alınmaksızın Kişisel Veriler işlenir:

  1. a) Kanunlarda açıkça öngörülmesi.
  2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

4.3. Sonet aşağıdaki amaçlar ile sınırlı olarak KVKK m.5 ve m.6’ya uygun olarak Kişisel Verileri işler:

  1. a) Telekomünikasyon ürün veya hizmetlerini sunmak, pazarlamak, tanıtmak ya da katma değerli hizmet sunmak,
  2. b) Sunduğumuz ürün veya hizmetlere ilişkin indirim, kampanya ve ücretlendirmelere ilişkin bilgilendirme yapmak,
  3. c) Sunduğumuz hizmetlerin ölçümlenmesi, hizmetlerin iyileştirilmesi ve çeşitlendirilmesi, strateji belirlenmesi,
  4. d) Yararlanmakta olduğunuz hizmetler ile ilgili faturalandırma yapılması, kimlik tespiti, sözleşme akdedilmesinden başlayarak sonlandırmaya kadar yapılan tüm abonelik işlemleri, çağrı merkezi hizmetlerinin sunulması, talep ve şikâyet yönetimi, müşteri memnuniyetinin ölçülmesi, her tür müşteri ilişkileri faaliyetleri,
  5. e) Düzenleyici ve denetleyici kurumlar ile yasal düzenlenmeler gereğince zorunlu kılınan raporlama ve sair yükümlülüklerin yerine getirilmesi,
  6. f) Hukuki veya idari takip yollarına başvurulması.

 

4.4. Özel Nitelikli Kişisel Veriler KVKK m.6 ve ilgili mevzuata uygun olarak açık rıza alınmak veya hukuka uygun olarak ilgili çalışan taahhütnameleri alınmak suretiyle işlenmektedir.

 

D. VERİ YÖNETİMİ VE GÜVENLİĞİ

5.1. Kişisel Veri Güvenliği Amacıyla Alınan İdari Tedbirler

  • Sonet’in Kişisel Verilere ilişkin yasal yükümlülüklerini yerine getirmek, işbu Politikanın uygulanmasını sağlamak ve denetlemek üzere, üyeleri ve çalışma şekli Yönetim Kurulu tarafından belirlenen bir Kişisel Veri Güvenliği Komitesi (“Komite”) kurulmuştur. Komite, Kişisel Veri güvenliğine ilişkin risk, gelişme ve diğer tüm hususları Risk Komitesi ve Yönetim Kurulu’na raporlar.
  • Sonet tarafından işlenen Kişisel Verilere ilişkin döküm mevzuata uygun olarak hazırlanmış olup, gerektiğinde güncellenmektedir.
  • Sonet çalışan, müşteri, tedarikçi, iş ortakları ve diğer üçüncü kişiler ile girdiği herhangi bir ilişki kapsamında Kişisel Veri işlenmesi veya aktarımının söz konusu olduğu durumlarda, ilgili işleme veya aktarımın KVKK ve ilgili mevzuata uygunluğunun sağlanmasını temin etmek üzere gerekli yükümlülük, taahhüt ve cezaları ilgili sözleşme içinde düzenlemekte veya bu konuda ayrı bir sözleşme imzalamaktadır.
  • Gerekli olması halinde, Sonet kendi çalışanları, tedarikçilerinin, iş ortaklarının veya alt yüklenicilerinin çalışan veya temsilcilerine ilgili görev, iş veya sürecin gerektirdiği şekilde yazılı gizlilik taahhütnameleri imzalatarak bunları saklamakta veya tedarikçi, iş ortakları veya alt yüklenicileri tarafından saklanmalarını sağlamaktadır.
  • Çalışanlar ile imzalanan iş sözleşmelerinde Kişisel Verilerin korunmasına ilişkin maddeler bulunmakta veya ayrıca taahhüt imzalatılmaktadır.
  • Disiplin Yönetmeliğinde Kişisel Verilerin hukuka ve Sonet Politikalarına aykırı şekilde işlenmesine ilişkin yaptırımlar belirlenmiş ve çalışanlar bunlar hakkında eğitimlerde bilgilendirilmektedir. 

 

5.2. Kişisel Veri Güvenliği Amacıyla Alınan Teknik Tedbirler

  • Şirketimizde ISO 27001 Bilgi Yönetim Sistemi işletilmektedir. Aşağıda anılan tedbirler ilgili BGYS prosedürü kapsamında detaylı olarak ele alınmaktadır.
  • İlgili birimlerde teknik konularda bilgili personel istihdam edilmektedir.
  • Çalışanların yetki tanım ve eğitimleri “izin verilmedikçe yasaktır” esasına uygun yapılmakta ve gerekli taahhütler alınmaktadır.
  • Bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla anti virüs ve firewall uygulamaları kullanılmaktadır.
  • Kişisel Verilerin güvenli şekilde saklanması için uygun yedekleme program ve yöntemleri kullanılmaktadır.
  • Kullanıcı hesapları ve şifreleme süreçleri BGYS Prosedürleri kapsamında üst düzey koruma önlemleri alınarak hassasiyetle yürütülmektedir.
  • Harici bellek kullanımları çalışan rol bazında sınırlandırılmaktadır.
  • Şirketin kullandığı bilgisayar programlarında kullanıcı hesaplarına rol bazında yetkiler tanımlanmaktadır. Bu yetkilerin kontrol süreci yılda bir kez yapılmaktadır.
  • Sistem LOG kayıtları tutulmaktadır. Veritabanı Logları zaman damgası ile damgalanarak arşivlenmektedir.
  • Sistem arayüzlerinde kişisel veriler ya hiç gösterilmemekte, ya da maskelenmektedir. Hizmet tedarikçilerimize yapılan veya kamu kurumlarına yasal mevzuat gereği zorunlu yapılan veri aktarımlarında, sadece ilgili verilerin paylaşılmasının sağlanması amacıyla maskemeler veya karartma yöntemleri uygulanmaktadır.
  • Sonet’in kullanmakta olduğu binaların (Şirket merkez binası ve veri merkezi) güvenliğinin sağlanması amacıyla kamera kaydı alınmak suretiyle Kişisel Veriler işlenmektedir. Kamera sayısı, konum ve kayıt süreleri yasal düzenlemelere gereğince amaç ile sınırlılık ilkesine uygun olarak belirlenmektedir.
  • Kamera kayıtları için güvenlik firmasından hizmet alınmaktadır. Kamera kayıtlarına gizlilik taahhütnamesi imzalamış olan yetkili personel tarafından erişim sağlanmaktadır.

 

5.3. Web-sitesi, Uygulamalar ve Çerezler

Sonet internet üzerinden web-sitesi üzerinden her tür abonelik işlemleri, pazarlama ve müşteri hizmetleri faaliyetlerini yürütmektedir. Bu çerçevede güvenlik önlemleri olarak periyodik sızma testi yapılmakta, kullanıcı adı ve şifre ile erişim sağlanmakta, GUID kullanımı gibi güvenli yazılım yöntemleri ve Web sunucu sistemin ulaştığı sistemlerin önünde Güvenlik Duvarı sistemi kullanılmaktadır.

Çerez politikası Sonet web-sitesinde yayınlanmaktadır.

 

E. İHLALLER

Veri güvenliği zayıflık veya ihlal olayı halinde ilgili çalışan durumu derhal bir üst Yöneticisine ve BGYS Yöneticisi’ne önce sözlü sonra e-posta ile raporlar. Veri güvenlik ihlal olayı P.16-1 ve P.16-2 BGYS Prosedürlerine uygun olarak raporlanır ve çözümlenir. Çalışanlara verilen Kişisel Veri Eğitimlerinde prosedürler ayrıntılı olarak açıklanır ve prosedürler çalışanların erişimine açık tutulur.

 

F. KİŞİSEL VERİ SAHİBİNİN (İLGİLİ KİŞİ) HAKLARI

7.1. Sonet, Veri Sahiplerine (İlgili Kişilere) KVKK m.11 uyarınca kişisel verilerin korunması ile ilgili olarak aşağıdaki haklara sahip oldukları hakkında bilgi verir:

  • Kişisel verinizin işlenip işlenmediğini öğrenme,
  • Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, düzeltme yapılması halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
  • Kanun’un 7. Maddesi çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, silme veya yok edilmesi halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi sonucunda aleyhinize bir sonuç ortaya çıkması halinde itiraz etme,
  • Kişisel verinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

 

7.2. Veri sahipleri ayrıca yukarıda belirtilen hakları kullanmak ve talepte bulunmak için websitesinde bulunan başvuru formunu doldurabilecekleri ya da kendi hazırlayacakları dilekçeyi (Bu dilekçe şunları içermelidir: adınız, soyadınız, TCKN’niz, cevap almak istediğiniz adresiniz, e-posta adresiniz veya faks numaranız, başvuru tarihiniz, talebinize ilişkin detaylı açıklamalarınız) imzalı olarak aşağıdaki yöntemler ile iletebilecekleri hakkında bilgilendirilir:

 

Yazılı Olarak Elden Teslim Başvuru

Binevler Mahallesi Abdulkadir Aksu Bulvarı No:99/A Şahinbey/Gaziantep

Başvuru formuna buradan erişebilirsiniz.


Yazılı Olarak Noter Aracılığıyla

Binevler Mahallesi Abdulkadir Aksu Bulvarı No:99/A Şahinbey/Gaziantep


Kayıtlı Elektronik Posta (KEP) Yoluyla

sonet@hs02.kep.tr


Elektronik Posta Adresiniz ile Başvuru

kvkk@sonet.com.tr


7.3. Sonet, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurum tarafından belirlenen tarifedeki ücret alınabilir. Şirket, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir.

 

G. POLİTİKANIN YÜRÜRLÜĞÜ

Bu Politika Komite tarafından hazırlanır, Yönetim Kurulu tarafından onaylanır ve yayım tarihinde yürürlüğe girer. Bu Politika ve Politika’da yapılan değişiklikler çalışanlara e-posta ile duyurulur ve Sonet web sitesinde yayınlanır. Bu Politika mevzuat değişiklikleri veya Şirketin ihtiyaçları doğrultusunda yılda en az bir kez olmak üzere gözden geçirilerek, gerekli ise güncellenir. Değişiklikler Politika’nın sonunda tarih ve sayısı ile belirtilir.