Kişisel Veri Güvenliği Politikası

İhyâ Vakfı kişisel verilerinizin hukuka uygun olarak toplanması, saklanması ve paylaşılmasını sağlamak ve gizliliğinizi korumak amacıyla mümkün olan en üst seviyede güvenlik tedbirlerini almaktadır.

Amacımız; 6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi gereğince ve sizlerin memnuniyeti doğrultusunda, kişisel verilerinizin alınma şekilleri, işlenme amaçları, paylaşılan kişiler, hukuki nedenleri ve haklarınız konularında sizi en şeffaf şekilde bilgilendirmektir.

A. AMAÇ

İşbu Kişisel Verilerin Korunması Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 5809 Sayılı Elektronik Haberleşme Kanunu (“5809 sayılı Kanun”) başta olmak üzere ilgili mevzuat hükümleri uyarınca İhyâ Vakfı İletişim Hizmetleri A.Ş.’nin (“İhyâ Vakfı” veya “Şirket”) Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken uyması gereken esaslar ile takip edilecek yöntem ve süreçleri açıklamaktadır.

B. KAPSAM

2.1. Bu Politika İhyâ Vakfı’in işlemekte olduğu Kişisel Verilere ilişkin tüm faaliyet ve süreçleri kapsamaktadır.

2.2. Bu Politika İhyâ Vakfı’in müşterileri, müşteri adayları, çalışanları, çalışan adayları, stajyerleri, mal veya hizmet tedarikçileri, alt yüklenicileri, ziyaretçileri, web-sitesi ziyaretçileri, iş ortakları ve bunların çalışan ve temsilcilerine ait Kişisel Verilerin işlenmesine ilişkindir.

2.3. 5809 sayılı Elektronik Haberleşme Kanunu, 13.07.2014 tarih ve 29059 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Bilgi ve Şebeke Güvenliği Yönetmeliği ve ilgili diğer mevzuatta tanımlanan yükümlülükler kapsamında, İhyâ Vakfı tarafından 91 adet politika veya prosedürden oluşan Bilgi Güvenliği Yönetim Sistemi Politika ve Prosedürleri (“BGYS Prosedürleri”) uygulanmaktadır.

C. İLKELER

• İhyâ Vakfı KVKK m.4 ve 5809 sayılı Kanun m.51’e uygun olarak Kişisel Verileri işlerken aşağıdaki ilkelere uyar:
• Hukuka ve dürüstlük kurallarına uygunluk,
• Doğru ve gerektiğinde güncel olacak şekilde,
• Belirli açık ve meşru amaçlar için,
• İşlendiklerim amaçlarla bağlantılı, sınırlı ve ölçülü olarak,
• KVKK’da öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Ç. KİŞİSEL VERİLERİN İŞLENMESİ

4.1. İhyâ Vakfı KVKK m.10 ve diğer ilgili mevzuata uygun olarak Aydınlatma Yükümlülüğü kapsamında bilgilendirme yaptıktan sonra Kişisel Verileri KVKK’ya uygun olarak işler. Bilgilendirme metni olan “İhyâ Vakfı Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Aydınlatma Metni” İhyâ Vakfı web-sitesinde kamuya açık olarak yayınlanmakta ve Çağrı Merkezi’nde sözlü olarak dinlenebilmektedir.

4.2. İhyâ Vakfı Kişisel Verileri KVKK m.5 uyarınca açık rızanın alınmasının gerekli olduğu durumlarda İlgili Kişi’nin açık rızasını almak suretiyle işler. Açık rıza alınmasının gerekli olmadığı aşağıdaki durumlarda ise açık rıza alınmaksızın Kişisel Veriler işlenir:

• a) Kanunlarda açıkça öngörülmesi.
• b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.3. İhyâ Vakfı aşağıdaki amaçlar ile sınırlı olarak KVKK m.5 ve m.6’ya uygun olarak Kişisel Verileri işler:

• a) Telekomünikasyon ürün veya hizmetlerini sunmak, pazarlamak, tanıtmak ya da katma değerli hizmet sunmak,
• b) Sunduğumuz ürün veya hizmetlere ilişkin indirim, kampanya ve ücretlendirmelere ilişkin bilgilendirme yapmak,
• c) Sunduğumuz hizmetlerin ölçümlenmesi, hizmetlerin iyileştirilmesi ve çeşitlendirilmesi, strateji belirlenmesi,
• d) Yararlanmakta olduğunuz hizmetler ile ilgili faturalandırma yapılması, kimlik tespiti, sözleşme akdedilmesinden başlayarak sonlandırmaya kadar yapılan tüm abonelik işlemleri, çağrı merkezi hizmetlerinin sunulması, talep ve şikâyet yönetimi, müşteri memnuniyetinin ölçülmesi, her tür müşteri ilişkileri faaliyetleri,
• e) Düzenleyici ve denetleyici kurumlar ile yasal düzenlenmeler gereğince zorunlu kılınan raporlama ve sair yükümlülüklerin yerine getirilmesi,
• f) Hukuki veya idari takip yollarına başvurulması.

4.4. Özel Nitelikli Kişisel Veriler KVKK m.6 ve ilgili mevzuata uygun olarak açık rıza alınmak veya hukuka uygun olarak ilgili çalışan taahhütnameleri alınmak suretiyle işlenmektedir.

D. VERİ YÖNETİMİ VE GÜVENLİĞİ

5.1. Kişisel Veri Güvenliği Amacıyla Alınan İdari Tedbirler

• İhyâ Vakfı’in Kişisel Verilere ilişkin yasal yükümlülüklerini yerine getirmek, işbu Politikanın uygulanmasını sağlamak ve denetlemek üzere, üyeleri ve çalışma şekli Yönetim Kurulu tarafından belirlenen bir Kişisel Veri Güvenliği Komitesi (“Komite”) kurulmuştur. Komite, Kişisel Veri güvenliğine ilişkin risk, gelişme ve diğer tüm hususları Risk Komitesi ve Yönetim Kurulu’na raporlar.
• İhyâ Vakfı tarafından işlenen Kişisel Verilere ilişkin döküm mevzuata uygun olarak hazırlanmış olup, gerektiğinde güncellenmektedir.
• İhyâ Vakfı çalışan, müşteri, tedarikçi, iş ortakları ve diğer üçüncü kişiler ile girdiği herhangi bir ilişki kapsamında Kişisel Veri işlenmesi veya aktarımının söz konusu olduğu durumlarda, ilgili işleme veya aktarımın KVKK ve ilgili mevzuata uygunluğunun sağlanmasını temin etmek üzere gerekli yükümlülük, taahhüt ve cezaları ilgili sözleşme içinde düzenlemekte veya bu konuda ayrı bir sözleşme imzalamaktadır.
• Gerekli olması halinde, İhyâ Vakfı kendi çalışanları, tedarikçilerinin, iş ortaklarının veya alt yüklenicilerinin çalışan veya temsilcilerine ilgili görev, iş veya sürecin gerektirdiği şekilde yazılı gizlilik taahhütnameleri imzalatarak bunları saklamakta veya tedarikçi, iş ortakları veya alt yüklenicileri tarafından saklanmalarını sağlamaktadır.
• Çalışanlar ile imzalanan iş sözleşmelerinde Kişisel Verilerin korunmasına ilişkin maddeler bulunmakta veya ayrıca taahhüt imzalatılmaktadır.
• Disiplin Yönetmeliğinde Kişisel Verilerin hukuka ve İhyâ Vakfı Politikalarına aykırı şekilde işlenmesine ilişkin yaptırımlar belirlenmiş ve çalışanlar bunlar hakkında eğitimlerde bilgilendirilmektedir.

5.2. Kişisel Veri Güvenliği Amacıyla Alınan Teknik Tedbirler

• Şirketimizde ISO 27001 Bilgi Yönetim Sistemi işletilmektedir. Aşağıda anılan tedbirler ilgili BGYS prosedürü kapsamında detaylı olarak ele alınmaktadır.
• İlgili birimlerde teknik konularda bilgili personel istihdam edilmektedir.
• Çalışanların yetki tanım ve eğitimleri “izin verilmedikçe yasaktır” esasına uygun yapılmakta ve gerekli taahhütler alınmaktadır.
• Bilgi sistemlerinde yer alan bilgilerin ve yazılımların gizliliğinin, bütünlüğünün ve erişilebilirliğinin korunması amacıyla anti virüs ve firewall uygulamaları kullanılmaktadır.
• Kişisel Verilerin güvenli şekilde saklanması için uygun yedekleme program ve yöntemleri kullanılmaktadır.
• Kullanıcı hesapları ve şifreleme süreçleri BGYS Prosedürleri kapsamında üst düzey koruma önlemleri alınarak hassasiyetle yürütülmektedir.
• Harici bellek kullanımları çalışan rol bazında sınırlandırılmaktadır.
• Şirketin kullandığı bilgisayar programlarında kullanıcı hesaplarına rol bazında yetkiler tanımlanmaktadır. Bu yetkilerin kontrol süreci yılda bir kez yapılmaktadır.
• Sistem LOG kayıtları tutulmaktadır. Veritabanı Logları zaman damgası ile damgalanarak arşivlenmektedir.
• Sistem arayüzlerinde kişisel veriler ya hiç gösterilmemekte, ya da maskelenmektedir. Hizmet tedarikçilerimize yapılan veya kamu kurumlarına yasal mevzuat gereği zorunlu yapılan veri aktarımlarında, sadece ilgili verilerin paylaşılmasının sağlanması amacıyla maskemeler veya karartma yöntemleri uygulanmaktadır.
• İhyâ Vakfı’in kullanmakta olduğu binaların (Şirket merkez binası ve veri merkezi) güvenliğinin sağlanması amacıyla kamera kaydı alınmak suretiyle Kişisel Veriler işlenmektedir. Kamera sayısı, konum ve kayıt süreleri yasal düzenlemelere gereğince amaç ile sınırlılık ilkesine uygun olarak belirlenmektedir.
• Kamera kayıtları için güvenlik firmasından hizmet alınmaktadır. Kamera kayıtlarına gizlilik taahhütnamesi imzalamış olan yetkili personel tarafından erişim sağlanmaktadır.

5.3. Web Sitesi, Uygulamalar ve Çerezler

İhyâ Vakfı internet üzerinden web-sitesi üzerinden her tür abonelik işlemleri, pazarlama ve müşteri hizmetleri faaliyetlerini yürütmektedir. Bu çerçevede güvenlik önlemleri olarak periyodik sızma testi yapılmakta, kullanıcı adı ve şifre ile erişim sağlanmakta, GUID kullanımı gibi güvenli yazılım yöntemleri ve Web sunucu sistemin ulaştığı sistemlerin önünde Güvenlik Duvarı sistemi kullanılmaktadır.

Çerez politikası İhyâ Vakfı web-sitesinde yayınlanmaktadır.

E. İHLALLER

Veri güvenliği zayıflık veya ihlal olayı halinde ilgili çalışan durumu derhal bir üst Yöneticisine ve BGYS Yöneticisi’ne önce sözlü sonra e-posta ile raporlar. Veri güvenlik ihlal olayı P.16-1 ve P.16-2 BGYS Prosedürlerine uygun olarak raporlanır ve çözümlenir. Çalışanlara verilen Kişisel Veri Eğitimlerinde prosedürler ayrıntılı olarak açıklanır ve prosedürler çalışanların erişimine açık tutulur.

F. KİŞİSEL VERİ SAHİBİNİN (İLGİLİ KİŞİ) HAKLARI

7.1. İhyâ Vakfı, Veri Sahiplerine (İlgili Kişilere) KVKK m.11 uyarınca kişisel verilerin korunması ile ilgili olarak aşağıdaki haklara sahip oldukları hakkında bilgi verir:

• Kişisel verinizin işlenip işlenmediğini öğrenme,
• Kişisel veriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, düzeltme yapılması halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
• Kanun’un 7. Maddesi çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, silme veya yok edilmesi halinde verilerin aktarıldığı üçüncü kişilere bilgi verilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler ile analiz edilmesi sonucunda aleyhinize bir sonuç ortaya çıkması halinde itiraz etme,
• Kişisel verinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

7.2. Veri sahipleri ayrıca yukarıda belirtilen hakları kullanmak ve talepte bulunmak için websitesinde bulunan başvuru formunu doldurabilecekleri ya da kendi hazırlayacakları dilekçeyi (Bu dilekçe şunları içermelidir: adınız, soyadınız, TCKN’niz, cevap almak istediğiniz adresiniz, e-posta adresiniz veya faks numaranız, başvuru tarihiniz, talebinize ilişkin detaylı açıklamalarınız) imzalı olarak aşağıdaki yöntemler ile iletebilecekleri hakkında bilgilendirilir:

7.3. İhyâ Vakfı, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurum tarafından belirlenen tarifedeki ücret alınabilir. Şirket, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir.

G. POLİTİKANIN YÜRÜRLÜĞÜ

Bu Politika Komite tarafından hazırlanır, Yönetim Kurulu tarafından onaylanır ve yayım tarihinde yürürlüğe girer. Bu Politika ve Politika’da yapılan değişiklikler çalışanlara e-posta ile duyurulur ve İhyâ Vakfı web sitesinde yayınlanır. Bu Politika mevzuat değişiklikleri veya Şirketin ihtiyaçları doğrultusunda yılda en az bir kez olmak üzere gözden geçirilerek, gerekli ise güncellenir. Değişiklikler Politika’nın sonunda tarih ve sayısı ile belirtilir.