Kişisel Veri İhlali Durumunda Kriz Yönetimi ve Bildirim Politikası

1. GİRİŞ

1.1 Amaç

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ("Kanun”) uyarınca Veri Sorumlusu olan ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ ("Şirket”), kendi bünyesinde bir Veri İhlali durumu yaşanması halinde, ihlal durumunun Kişisel Veriler Koruma Kurulu ("Kurul”) ile İlgili Kişi’ye bildirimine dair Şirket içinde izlemesi gereken prosedürü ve ihlal gerçekleştikten sonra yapılması gereken iş ve işlemleri işbu Kişisel Veri İhlali Durumunda Kriz Yönetimi ve Bildirim Politikası ("Politika”) ile belirlemeyi amaçlamaktadır.

1.2 Kapsam

Şirket bünyesinde bir Veri İhlali yaşanması durumunda uygulanacak iş ve işlemler ile Kurul ve Veri İlgilisine yapılacak bildirim prosedürü işbu Politika kapsamında açıklanmış olup herhangi bir ihlal halinde Politika’da açıklanan yönetim süreci uygulama alanı bulacaktır.

1.3 Kısaltmalar ve Tanımlar

İşbu politika özelinde, aşağıda yer alan ifadeler kendilerine verilen anlamlarda kullanılacaktır:

• Çalışan: ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ personelini,
• Form: Kişisel Veriler Koruma Kurulu’nun 24.01.2019 tarihli 2019/10 sayılı kararı ile yayınlanan kişisel veri ihlali bildirim formunu,
• Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
• Kurul: Kişisel Verileri Koruma Kurulunu,
• Kurum: Kişisel Verileri Koruma Kurumunu,
• Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
• Politika: Kişisel Veri İhlali Halinde Kriz Yönetimi ve Bildirim Politikası’nı,
• Veri İhlali: ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ’nin hâkimiyet alanında olan Kişisel Veriler’in, Şirket içinden veya dışından ‘hukuka aykırı olarak işlenmesi’, ‘hukuka aykırı olarak erişilmesi’, ‘hukuka aykırı olarak elde edilmesi’ veya ‘Kişisel Veriler’in muhafazasını sağlama, amacıyla Şirket tarafından alınan ve güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin yetkisiz kişilerce aşılması’ durumunu,
• Veri İhlali Müdahale Planı: ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ nezdinde Veri İhlali yaşanması durumunda yürütülecek prosedürü,
• Veri İlgilisi: Kişisel verisi işlenen ve Veri İhlaline uğrayan gerçek kişiyi,
• Veri Sorumlusu: ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ ifade edecektir.

2. KİŞİSEL VERİ İHLALİ DURUMUNDA KRİZ YÖNETİMİ VE BİLDİRİM

2.1 Sorumluluk ve Görev Dağılımları

ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ nezdinde bir Veri İhlali yaşanması durumunda uygulanacak prosedür, Kurulun 24.01.2019 tarihli 2019/10 sayılı kararına uygun olarak hazırlanmıştır. Herhangi bir ihlal olduğu zaman aşağıda belirtilen birimler ve çalışanlar aşağıdaki süreçleri yürüteceklerdir:

• İhlalden şüphe eden tüm çalışanlar ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ ’ne bildirim yapmalıdır.
• ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ araştırma yapılması ve Veri İhlali Müdahale Planı’nın (EK 1 - Veri İhlali Müdahale Planı) harekete geçirilmesi gerekmektedir.
• Veri İhlali’nin kaynağı, ihlalin ne zaman gerçekleştiği ve ne zaman öğrenildiğinin tespit edilmesi gerekmektedir.
• Etkilenen kişisel veri kategorilerinin ve kişi sayısının tespit edilmelidir.
• Veri İhlali’ne ilişkin mevcut risk ve tehditlerin belirlenmelidir.
• İşbu Politika’nın 2.2. maddesinde yer alan usuller çerçevesinde Veri İhlalinin Kuruma bildirilmesi için Veri İhlal bildirimi hazırlanmalıdır. İhlalden etkilenen İlgili Kişiler tespit edilemiyorsa, bu durum Kuruma yapılacak bildirim içerisinde belirtilmelidir.
• İhlalden etkilenen İlgili Kişiler tespit edilebiliyorsa, İşbu Politika’nın 2.3. maddesinde yer alan usuller çerçevesinde İlgili Kişilere yapılacak olan bildirimler hazırlanmalı ve gönderilmelidir.

2.2 Veri İhlali’nin KVKK Kuruluna Bildirilmesi Usulü

Veri İhlali, Kurulun 24.01.2019 tarihli 2019/10 sayılı kararı uyarınca, ihlali öğrendikleri tarihten itibaren en geç 72 saat içinde Kurula bildireceklerdir.

İhlalin Kurula bildirilmesi için yukarıda tayin edilen sürenin yeterli olmaması ve bu durumun haklı bir gerekçeye dayanması halinde, yapılacak geç bildirimde ‘gecikmenin gerekçesini’ de Kurul’a açıklayacaklardır.

Veri İhlali durumunda, Kurula yapılacak bildirimde "Kişisel Veri İhlal Bildirim Form”u kullanacaklardır. (Formun güncel hali KVKK Kurumunun web sayfasından kontrol edilmelidir)

Form’da yer alan bilgilerin tek seferde sağlanamaması durumunda eksik bilgileri elde eder etmez ve gecikmeye mahal vermeksizin aşamalı olarak Kurula bildireceklerdir.

Yaşanan Veri İhlalleri’ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.

Veri İhlali’ni aşağıda yer alan yollardan biriyle Kurul’a bildireceklerdir.

a) E-posta ile bildirim: Bildirimin ilk bildirim olması durumunda, doldurulan Form’u ”ihlalbildirimi@kvkk.gov.tr” adresine ‘Kişisel veri ihlali bildirimi’ konulu bir e-posta ekiyle göndereceklerdir. Eğer yapılacak bildirim bir takip bildirimi ise, Form’u ilk bildirimde gönderdikleri e-postanın ekine ekleyeceklerdir.

b) Posta ile bildirim: Form’un, posta ile gönderilmesine karar verilirse, "Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi Ziyabey Cad. 1407. Sok. No:4, 06520 Çankaya/Ankara” adresine APS ile göndereceklerdir.

c) Web sayfası üzerinden bildirim: Bildirimin Kurum’un web sayfası üzerinden yapılması istenirse, https://ihlalbildirim.kvkk.gov.tr/ adresli web sayfasından "Bildirim Oluştur” bağlantısına girilmek ve çıkan sayfadaki adımların takip edilmesi suretiyle ve Kurum’un www.kvkk.gov.tr adresli web sayfasında yayınlanan "Kişisel Veri İhlali Bildirim Formu Kılavuzu”na uygun olarak bildirimi yapacakladır.

2.3 Veri İhlali’nin İlgili Kişilere Bildirilmesi Usulü

ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ nezdinde herhangi bir ihlal olduğu zaman, Veri İhlali’ni, ilgili kişilerin belirlenmesini müteakip makul olan en kısa sürede İlgili kişilere bildireceklerdir.

İlgili kişilere yapılacak bildirimde asgari olarak aşağıda yer alan içeriğe yer vereceklerdir:

• İhlalinin ne zaman gerçekleştiği,
• Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
• Kişisel veri ihlalinin olası sonuçları,
• Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
• İlgili kişilerin, Veri İhlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları.

Yaşanan Veri İhlalleri’ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.

Veri İhlali’ni aşağıda açıklanan şekilde ilgili kişilere bildireceklerdir:

• İlgili kişinin iletişim adresine ulaşabiliyorlarsa bu adrese posta gönderilmesi ile;
• Eğer ilgili kişinin iletişim adresine ulaşılamıyorsa, ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ web sayfası üzerinden yayımlanması ile;
• ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ tarafından mevzuata uygun olarak belirlenecek bir diğer yöntem ile.

3. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

İşbu Politika, ÖZBEK İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ içinde erişime açık olan elektronik ortak alanda saklanmaktadır.

4. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenecektir.