VERİ GÜVENLİĞİ İHLALİ MÜDAHALE PLANI
1.GİRİŞ
1.1. Amaç
6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 12’nci maddesinin (5) numaralı fıkrasında; işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (“Kurul”) bildireceği, Kurulun ise gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
Kişisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı Kararı (Karar) ile “Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Duyuru” kapsamında bir veri ihlali müdahale planı hazırlanması yükümlülüğüne uyum kapsamında işbu Plan hazırlanmıştır.
1.2. Kapsam
İşbu Plan, Şirket tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, ihlalin ortaya çıkarılması için şirket içi raporlama, ilgili kişilere ve Kurula yapılacak bildirim ile Kişisel Veri İhlal Bildirim Formunun doldurulmasına ilişkin usul ve esasları kapsamaktadır.
2. HUKUKİ VE TEKNİK TERİMLERİN TANIMLARI VE KISALTMALAR
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Form: Kurula yapılacak bildirimde kullanılacak olup ekte yer alan “Kişisel Veri İhlali Bildirim Formu”nu,
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
Karar: Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Politika: Kişisel Verileri Saklama ve İmha Politikası’nı,
Şirket: Ahşap Ürün Sanayi A.Ş.’yi
İfade eder. İşbu planda yer almayan tanımlar için Kişisel Verileri Saklama ve İmha Politikası’nda yer verilen tanımlar geçerlidir.
3. VERİ İHLALİNİN ŞİRKET İÇİ RAPORLANMASI
Veri ihlali riskleri, en kısa süre içerisinde ilgili birim yöneticisine raporlanmalıdır.
Zararlı yazılımlar ile siber saldırı ihtimalleri bilgi işlem sorumlusu tarafından sürekli değerlendirilerek raporlanacaktır.
Çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması, bilgi işlem sorumlusu tarafından temin edilecektir.
Kötü amaçlı yazılım içeren e-posta ekinin açılması veya elektronik postanın yanlış alıcıya gönderilmesi gibi kullanıcı dikkatsizliğinden kaynaklanan veri ihlalleri derhal kullanıcı tarafından bağlı olduğu birim yöneticisine ve bilgi işlem sorumlusuna bilgi verilecektir.
Kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması hallerinde, bu durum, ilgili kullanıcı tarafından derhal bilgi işlem sorumlusuna rapor edilecektir.
4. KURULA YAPILACAK BİLDİRİM
4.1. Genel olarak
Veri ihlalinin öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula ekte yer alan “Kişisel Veri İhlal Bildirim Formu” ile bildirim yapılacaktır. Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, gecikme nedenleri formun ilgili bölümünde açıklanacaktır.
4.2. Formun Doldurulması ve gönderilmesi
Bildirim Formu, Şirketin temsile yetkili kişisi tarafından bilgi işlem sorumlusu ile irtibat kişisinin form üzerine taslak veri girişleri dikkate alınarak imzalanacaktır.
Formda yer verilen veri ihlaline ilişkin bilgilerin, etkilerinin ve alınan önlemlerin doldurulmasında esas alınan kayıtlar ve deliller, Kurulun incelemesine hazır halde bulundurulacaktır.
Form, yönetim onayı sonrasında irtibat kişisi tarafından Kurula gönderilecektir.
Doldurulan form, ihlalbildirimi@kvkk.gov.tr adresine “Kişisel veri ihlali bildirimi” konusu ile şifreli olarak kurumsal e-posta ekinde gönderilebileceği gibi https://ihlalbildirim.kvkk.gov.tr/ internet bağlantısı yoluyla da form içeriği Kurula iletilebilecektir.
5. İLGİLİ KİŞİLERE YAPILACAK BİLDİRİM
Veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirketin internet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılacaktır.
Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
- İhlalinin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Kişisel veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerekir.
6. PLAN YAYINLANMASI VE SAKLANMASI
Plan, basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanır.
7. PLANIN GÜNCELLENME PERİYODU
Plan, yıllık olarak ve ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
8. PLANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
İşbu Plan, yönetim onayının ardından yürürlüğe girmiş kabul edilir. Yeni bir plan onaylanarak yürürlükten kaldırılmasına karar verilmesi halinde, Plan’nın ıslak imzalı eski nüshaları iptal edilerek imzalanır ve en az 5 yıl süreyle saklanır.
Ek:
1. Kişisel Veri İhlali Bildirim Formu’nun yer aldığı bağlantı için:
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/617f166c-24e1-42b5-a9cb-d756d6443af9.pdf
2. Kişisel Veri İhlali Bildirim’in yapılabildiği internet bağlantısı için: