6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) AYDINLATMA METNİ

MADDE 1 – VERİ SORUMLUSU VE İLGİLİ KİŞİ

İşbu Aydınlatma Metni; 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m.10 uyarınca aydınlatma yükümlülüğünün yerine getirilmesi maksadıyla, Fevzipaşa Mahallesi, Erek Caddesi, 127/E Erbaa/TOKAT adresinde mukim, bogahost.com ve bogahost.com.tr platformlarının yasal ve tek hak sahibi Bogahost Bilişim ve Telekomünikasyon Hiz. San. ve Tic. Ltd. Şti. (bundan böyle "Veri Sorumlusu", "Şirket" veya "Bogahost" olarak anılacaktır) tarafından, Şirket'e ait platformu/sistemi kullanan, üye olan ve/veya hizmet alan gerçek veya tüzel kişi (bundan böyle "İlgili Kişi", "Müşteri" veya "Kullanıcı" olarak anılacaktır) muhatap alınarak hazırlanmıştır.

MADDE 2 – AYDINLATMA METNİNİN AMACI VE KAPSAMI

İşbu Aydınlatma Metni'nin amacı; İlgili Kişi'nin, Şirket'e ait internet siteleri, bilişim altyapıları ve barındırma hizmetlerini kullanımı sırasında elde edilen kişisel ve kurumsal verilerinin; 6698 sayılı Kişisel Verilerin Korunması Kanunu, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 5809 Sayılı Elektronik Haberleşme Kanunu, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi ve ilgili TSE standartlarına uygun olarak toplanması, işlenmesi, muhafazası, aktarılması ve yasal/sözleşmesel süreler hitamında imha edilmesine ilişkin usul, esas ve hukuki dayanaklar hakkında bilgilendirilmesidir.

MADDE 3 – İŞLENEN VERİLER, TOPLAMA YÖNTEMLERİ VE HUKUKİ SEBEPLER

Bogahost sistemlerine üyelik kaydı oluşturulması, hizmet satın alınması ve altyapının kullanılması aşamasında aşağıda belirtilen veriler, yasal ve operasyonel zorunluluklar tahtında işlenmektedir. Veriler, KVKK m.4'te amir olan genel ilkelere mutlak surette bağlı kalınarak toplanmaktadır.

3.1. Üyelik ve Kimlik Verileri: Bireysel müşteriler için ad, soyad, T.C. Kimlik Numarası, ikametgah/fatura adresi, iletişim numarası, e-posta adresi ve IP log kayıtları; tüzel kişi müşteriler için ise bunlara ek olarak vergi kimlik numarası, vergi dairesi, MERSİS numarası ve şirket yetkilisine ait bilgiler operasyonel ve yasal zorunluluk gereği işlenmektedir.

3.2. Toplama Yöntemi ve Hukuki Sebep: İlgili Kişi'ye ait veriler; her türlü elektronik, sözlü veya yazılı ortamda, Bogahost tarafından sunulan ürün ve hizmetlerin ifa edilebilmesi, sözleşmenin kurulması, mali yükümlülüklerin yerine getirilmesi ve kanunlarda açıkça öngörülmesi hukuki sebeplerine (KVKK m.5/2-a, c, ç) istinaden otomatik veya kısmen otomatik yöntemlerle toplanmaktadır.

3.3. Sabit ve Doğrulanmış Profil Alanları: Üst düzey bilgi güvenliği politikaları, uluslararası KYC (Müşterini Tanı) prensipleri ve dolandırıcılıkla (fraud) mücadele protokolleri gereği; Kullanıcı profili içerisinde yer alan ad, soyad, T.C. Kimlik Numarası ve temel fatura bilgileri, sonradan yetkisiz şekilde değiştirilemez nitelikte yapılandırılmıştır. Hesap devir, birleştirme veya mülkiyet değişikliği işlemleri münhasıran Şirket'in ilave kimlik doğrulama süreçlerine tabidir.

MADDE 4 – VERİ İŞLEME AMAÇLARI VE ÜÇÜNCÜ KİŞİLERE AKTARIM

4.1. İşleme Amaçları: Toplanan veriler; satın alınan lisans, barındırma, sunucu ve alan adı hizmetlerinin tahsisi, faturalandırma ve ön muhasebe süreçlerinin yönetilmesi, BTK ve diğer yasal mercilere yapılacak zorunlu bildirimlerin ifası, hizmetin özelleştirilmesi, teknik destek sağlanması ve doğabilecek her türlü adli/idari ihtilafın çözümü amacıyla işlenmektedir.

4.2. Veri Aktarımı (Yurtiçi ve Yurtdışı): Alan adı tescili (ICANN, METU vb.), SSL sertifikasyon işlemleri, sunucu/yazılım lisanslamaları gibi hizmetlerin teknik doğası gereği İlgili Kişi'nin kişisel ve kurumsal verileri; zorunlu olarak ilgili 3. parti global kurum ve kuruluşlara, lisans sağlayıcılara, e-fatura/e-arşiv entegratörlerine, ödeme/tahsilat işlemleri için BDDK ve TCMB lisanslı sanal POS ve bankacılık kuruluşlarına KVKK m.8 ve m.9 kapsamında yasal düzenlemelere ve aktarım şartlarına uygun olarak aktarılmaktadır. Şirket, yasal mercilerden usulüne uygun şekilde gelecek mahkeme kararları ve savcılık müzekkereleri doğrultusunda veri paylaşımı yapmakla mükelleftir.

MADDE 5 – GÜVENLİK STANDARTLARI, KİMLİK DOĞRULAMA VE LOG KAYITLARI

Bogahost, Veri Sorumlusu sıfatıyla uhdesindeki verilerin yetkisiz erişime, sızıntıya, değiştirilmeye veya hukuka aykırı işlenmeye karşı korunması maksadıyla endüstri standartlarında (ISO 27001) teknolojik ve idari tedbirleri almaktadır.

5.1. Unutulan Bilgilerin Kurtarılması ve İleri Düzey Teyit: Mevcut üyelik/giriş bilgilerinin kaybedilmesi, şüpheli erişim tespiti veya hesap sahipliği ihtilafı hallerinde hesaba erişim sağlanabilmesi katı güvenlik protokollerine tabidir. Şirket, talebin gerçek/meşru hak sahibinden geldiğini tartışmasız biçimde teyit etmek amacıyla; İlgili Kişi'den resmi kimlik belgesinin (T.C. Kimlik Kartı, Pasaport vb.) görselini ibraz etmesini talep edebilir. Bu işlem yalnızca teyit ve mülkiyet doğrulama amaçlı olup, hukuki veya operasyonel zorunluluk ortadan kalktığında söz konusu görseller KVKK usullerine uygun olarak güvenli biçimde imha edilir.

5.2. Kredi Kartı ve Ödeme Verilerinin Güvenliği: Platform üzerindeki tüm tahsilat işlemleri, doğrudan yetkili ve PCI-DSS (Payment Card Industry Data Security Standard) uyumlu ödeme kuruluşları altyapısı üzerinden şifrelenerek gerçekleştirilmektedir. Kullanıcılara ait kredi kartı bilgileri, Bogahost sunucularında veya veritabanlarında kesinlikle depolanmamakta, kayıt altına alınmamakta ve hiçbir Şirket personeli tarafından erişilememektedir.

5.3. Log ve Erişim Kayıtları: Bogahost; sistemlerine giriş yapan, hizmet kullanan veya internet sitelerini ziyaret eden kullanıcıların trafik ve erişim kayıtlarını (IP adresleri, port bilgileri, tarih/saat zaman damgaları) 5651 sayılı Kanun ve ilgili yönetmelikler uyarınca hukuki süreler boyunca muhafaza etmekle yükümlüdür.

5.4. İletişim Arşivlemesi: Şirket'e iletilen tüm destek talepleri (ticket), elektronik postalar ve sair yazışmalar, hizmet kalitesinin ölçümü ve ileride doğabilecek olası uyuşmazlıklarda delil teşkil etmesi amacıyla güvenli sunucularda arşivlenmektedir.

5.5. İvedi ve Acil Müdahale Durumları: Hizmet sürekliliğinin kesintisiz sağlanması, teknik arızaların derhal giderilmesi ve Müşteri mağduriyetinin önlenmesi amacıyla; acil sistemsel müdahale gerektiren, İlgili Kişi'ye ulaşılamayan veya onay sürecinin beklenmesinin gecikmeye ve zarara sebebiyet vereceği durumlarda, Bogahost yetkili personeli ilgili sistemlere, altyapıya ve verilere sınırlı erişim sağlayarak anlık müdahale etme yetkisine haizdir. Bu işlem; 6698 sayılı KVKK'nın 5/2-e maddesi uyarınca "bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" ve 5/2-f maddesi uyarınca "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri" hukuki sebeplerine dayanmaktadır. Veri güvenliğini koruma maksatlı yapılan bu iyi niyetli, zorunlu müdahaleler bağlamında İlgili Kişi açıkça aydınlatılmıştır.

MADDE 6 – VERİ GÜVENLİĞİNE İLİŞKİN İLGİLİ KİŞİNİN YÜKÜMLÜLÜKLERİ VE SINIRLAMALAR

6.1. Bogahost, üstlendiği barındırma ve altyapı hizmetlerine ilişkin uluslararası standartlardaki teknolojik tedbirleri aldığını beyan eder. Ancak internetin açık yapısı gereği, sıfırıncı gün (zero-day) açıkları veya öngörülemez küresel siber saldırılar mücbir sebep kapsamında değerlendirilir.

6.2. İlgili Kişi'nin (Müşteri/Kullanıcı);

• Kendi kullanıcı adı ve şifre güvenliğini sağlayamaması, zayıf/tahmin edilebilir parola kullanması,
• Bağlantı kurduğu cihazlarına zararlı yazılım (virüs, trojan, keylogger, ransomware vb.) bulaşması,
• Oltalama (phishing) veya sosyal mühendislik saldırılarına maruz kalarak bilgilerini üçüncü kişilerle paylaşması,
• Yazılımlarındaki (script, tema, eklenti vb.) kodlama hataları ve güvenlik açıklarından kaynaklanan sızmalar,
• Kendi personelinin, alt çalışanlarının kasıt, kusur veya ihmali,
• Sistem API anahtarlarının veya FTP/CPanel/Plesk şifrelerinin yetkisiz kişilerce ele geçirilmesi,

gibi tamamen İlgili Kişi'nin etki alanındaki zafiyetlerden, ihmal veya kusurundan neşet eden veri kayıpları, veri sızıntıları, yetkisiz erişimler ve fidye yazılımı (ransomware) vakalarından Veri Sorumlusu Şirket'in (Bogahost) KVKK kapsamında ihlal sorumluluğu bulunmamaktadır.

MADDE 7 – KİŞİSEL VERİ SAHİBİNİN HAKLARI (KVKK M. 11)

İlgili Kişiler, KVKK'nın 11. maddesi uyarınca; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenme amacını bilme, yurtiçinde veya yurtdışında aktarıldığı 3. kişileri bilme, eksik/yanlış işlenmişse düzeltilmesini isteme, kanuni şartlar oluştuğunda silinmesini veya yok edilmesini talep etme haklarına haizdir. İşbu talepler, kimlik tevsik edici belgeler ile birlikte Bogahost'un aşağıda yer alan resmi tebligat adresine ıslak imzalı dilekçe ile veya Kişisel Verileri Koruma Kurulu tarafından belirlenen KEP, güvenli elektronik imza gibi diğer geçerli yöntemlerle yazılı olarak iletilmelidir. Şirket, usulüne uygun talepleri en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretin tahsili talep edilebilecektir.

MADDE 8 – UYUŞMAZLIKLARIN ÇÖZÜMÜ VE YETKİLİ MAHKEME

İşbu Aydınlatma Metni kapsamında yer alan hususların uygulanmasından, yorumlanmasından ve taraflar arasında doğabilecek her türlü hukuki ve cezai ihtilafta Türkiye Cumhuriyeti kanunları tatbik edilecek olup; uyuşmazlıkların çözümünde münhasıran Tokat/Erbaa Mahkemeleri ve İcra Daireleri kesin yetkilidir.

MADDE 9 – AYDINLATMA METNİNİN TEBLİĞİ VE YÜRÜRLÜK

9 (Dokuz) maddeden müteşekkil işbu "6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) Aydınlatma Metni"; İlgili Kişi tarafından bogahost.com veya bogahost.com.tr platformlarına üye olunduğu, elektronik ortamda onay kutucuğunun (checkbox) işaretlendiği veya Şirket altyapısının/hizmetinin kullanılmaya başlandığı an itibarıyla tebliğ edilmiş, okunmuş, anlaşılmış ve yürürlüğe girmiş sayılır.