- AMAÇ
6698 sayılı Kişisel Verilerin Korunması Kanununun (“KVKK”) 12. maddesinin (5) numaralı fıkrasında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (“Kurul”) bildireceğini; Kurul’un, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceğini hükme bağlanmıştır.
Bununla birlikte, Kişisel Verileri Koruma Kurumunun internet sitesinde yayınlanan, Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kurul 24.01.2019 tarih ve 2019/10 sayılı Kararında (“2019/10 sayılı Karar”): “Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi” gerektiği ifade edilmiştir.
Kurul, Veri Sorumlusu Tarafından İlgili Kişiye Yapılan Veri İhlali Bildiriminde Yer Alması Gereken Asgari Unsurlara İlişkin 18.09.2019 tarih ve 2019/271 sayılı Kararında (“2019/271 sayılı Karar”) ise, veri sorumlusu tarafından ilgili kişiye ihlal bildirimi yaparken uyulması gerekli asgari unsurları belirlemiştir.
Fazla Gıda Anonim Şirketi (“FG” veya “Şirket”) tarafından 6698 sayılı Kanun’un ilgili maddesi, 2019/10 sayılı Karar ve 2019/271 sayılı Karar uyarınca görev ve sorumluluklar belirlenerek işbu Kişisel Veri İhlali Müdahale Planı (“Müdahale Planı”) oluşturulmuştur. İşbu Müdahale Planı, Veri İhlali Müdahale Planı Kontrol Listesi (“Kontrol Listesi”) (EK-1) ile beraber kullanılmalı ve Kontrol Listesindeki unsurlar uyarınca 1 yıl ara ile gözden geçirilmelidir.
- TANIMLAR
İşbu Müdahale Planı kapsamında,
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Veri İşleyen: Veri Sorumlusunun verdiği yetkiye dayanarak Veri Sorumlusu adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi,
- Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,
- KVK Kurulu: Kişisel Verileri Koruma Kurulunu,
- KVK Kurumu: Kişisel Verileri Koruma Kurumunu
ifade eder.
- KAPSAM
Veri Sorumlusu sıfatını haiz Şirket’in işlemekte olduğu tüm Kişisel Verileri kapsayan bu Müdahale Planı, olası bir ihlal, gerçekleşmekte olan bir ihlal veya gerçekleşmiş bir ihlal durumlarında uygulanmak üzere yürürlüğe konulmuştur. Müdahale Planı, Veri Sorumlusunun çalışanlarının görev, yetki ve yükümlülüklerini belirlemektedir.
- VERİ GÜVENLİĞİ İHLALİ
Veri Güvenliğinin İhlali, Veri Sorumlusu nezdinde işlenen Kişisel Verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi veya kaybı, değişimi, izinsiz aktarılması dahil ve fakat bu sayılanlarla sınırlı olmamak üzere, verinin hukuka uygun olmayan bir şekilde Veri Sorumlusunun kontrolünden çıkması halidir.
- VERİ GÜVENLİĞİ İHLALİ BİLDİRİM YÜKÜMLÜLÜKLERİ
Kurulun 2019/10 sayılı Kararı uyarınca, Veri Sorumlusu sıfatını haiz Şirket, işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumun farkına vardıktan sonra 72 saat içerisinde ilgilisine ve Kurul’a bildirecektir.
Kurula yapılacak bildirimde, Kurulun sayfasında yayımlanan Kişisel Veri İhlali Bildirim Formu https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/617f166c-24e1-42b5-a9cb-d756d6443af9.pdf veya Kurumun Veri İhlal Bildirim Sistemi kullanılacaktır https://ihlalbildirim.kvkk.gov.tr/.
Şirket’in, Kurulun 2019/271 sayılı Kararı uyarınca, İlgili Kişinin iletişim adresine ulaşabiliyorsa doğrudan, ulaşamıyorsa Veri Sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapacaktır.
Şirket, İlgili Kişilere yapacağı bildirim içerisinde asgari olarak:
- İhlalinin ne zaman gerçekleştiği,
- Kişisel Veri kategorileri bazında (Kişisel Veri / Özel Nitelikli Kişisel Veri ayrımı yapılarak) hangi Kişisel Verilerin ihlalden etkilendiği,
- Kişisel Veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da Veri Sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verecektir.
Veri ihlalinden haberdar olan kişi, veri ihlalini derhal ve en geç 24 saat içerisinde Şirket’in irtibat kişisine [●] adresinden ve Bilgi Sistemleri yetkilisine [●] e-mail adresine yazılı olarak bildirmelidir.
- SORUMLULUK, YÜKÜMLÜLÜK VE YETKİLİ KİŞİLER
Olası, gerçekleşmekte olan veya gerçekleşmiş bir ihlal sırasında Veri Sorumlusunun kanundan kaynaklı birtakım yükümlülükleri olmakla birlikte, Veri Sorumlusu ile akdedilen gizlilik, KVK ve bilumum benzer sözleşme ve taahhüt sebebiyle Veri Sorumlusunun çalışanları da sorumluluk altındadır. Bu sorumlulukların yerine getirilmesi ve veri ihlallerinin önüne geçilmesi için bir KVK uyum yetki matrisi oluşturulmalıdır.
Yetkili kişiler bakımından Müdahale Planı gerekliliklerine zamanında uyulmaması halinde, Şirket Disiplin Yönetmeliği uyarınca yaptırım uygulanacaktır.
- TEKNİK VE İDARİ TEDBİRLER
Şirket’in 6698 sayılı Kanun uyarınca Kişisel Veri güvenliğini temin etmek için gerekli tüm teknik ve idari tedbirleri alma yükümlülüğü bulunmaktadır. Şirket, işbu yükümlülüğünü yerine getirmek amacıyla, ilgili rol ve sorumlulukların belirlenmesine yönelik bir yetki matrisi oluşturmuştur.
İşbu Müdahale Planı ilgili yetki matrisine uygun olarak uygulanmalıdır.
- İLGİLİ POLİTİKA VE PROSEDÜRLER
İşbu Müdahale Planı, aşağıda sıralanan Şirket politika ve prosedürleri göz önünde bulundurularak uygulanmalıdır:
- Kişisel Verilerin Korunması ve Gizliliğine İlişkin Prosedür,
- Özel Nitelikli Kişisel Verilerin Korunması ve Gizliliğine İlişkin Prosedür,
- Kişisel Veri Saklama ve İmha Politikası,
- İlgili Kişi Başvuru ve Taleplerinin Yönetimi Prosedürü.
- VERİ İHLALİ MÜDAHALE PLANI
| VERİ İHLALİ MÜDAHALE PLANI | |
| Veri İhlali | |
| Veri ihlal müdahale takım lideri | |
| Veri ihlal müdahale takımının diğer üyeleri | |
| Özet | |
| Olası, gerçekleşmekte olan veya gerçekleşmiş veri ihlali bildirimini yapan kişinin adı ve departmanı | |
| Olası, gerçekleşmekte olan veya gerçekleşmiş veri ihlalinin tarihi | |
| Olası, gerçekleşmekte olan veya gerçekleşmiş veri ihlalinin keşfedilme tarihi | |
| Olası, gerçekleşmekte olan veya gerçekleşmiş veri ihlalinin Şirket dâhilinde keşfi sonrası şirket içi bildirim tarihi | |
| Ön-değerlendirme | |
| Olası, gerçekleşmekte olan veya gerçekleşmiş veri ihlalinin, ihlale karışmış olan kişisel veri tiplerini de içeren özeti | |
| İhlalden etkilenen ortalama ilgili kişi sayısı ve bu ilgili kişi grupları | |
| İhlalden etkilen kayıtların kategorileri ve ortalama sayısı | |
| İhlale konu kişisel verinin hassasiyet derecesi | |
| Olası veya gerçekleşmiş olan veri ihlalinin sebebi | |
| Olay ile ilgili ek bilgi ve yorumlar | |
| İhlalin Kontrol Altına Alınması ve Islah Çalışmaları | |
| Olası, gerçekleşmekte olan veya gerçekleşmiş olan ihlalin hala devam edip etmediği | |
| Veri ihlalini kontrol altına almak için atılan adımlar. Ör. İhlali durdurma veya hali hazırda meydana gelmiş olan veri kayıplarını veya kullanılmaz hale getirilmiş veya yetkisiz erişime maruz kalmış olan verilere erişimin durdurulması için neler yapılmıştır? | |
| Kayba uğramış kişisel verileri kurtarmak için atılan adımlar. | |
| Veri ihlali bildirimi sırasında adli mercilere bildirim gerektiren durumlar. Örn. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamı dâhilindeki suçlar veya 3713 Sayılı Terörle Mücadele Kanunu kapsamında bildirim yapılması gereken bir durum var mı? (Unutulmamalıdır ki, böyle bir durumda adli mercilere yapılan bildirimler, Kurula bildirim ve ilgili kişiye bildirim yükümlülüklerinin yerine geçmeyecek ve yine bu Kurula ve ilgili kişiye bildirim prosedürü işletilecektir.) | |
| Sigorta yükümlülükleri. Veri ihlali sigortası poliçesi var mı? Var ise buna ilişkin yükümlülükler analiz edilmeli ve bildirim zinciri başlatılmalı. | |
| Detaylı Değerlendirme | |
| Hangi Kişisel Veriler ihlale konu olmuştur? İhlal Özel Nitelikli Kişisel Verileri (KVK Kanunu Md. 6/1) kapsamakta mıdır? | |
| İhlal kimleri etkilemiştir? | |
| Etkilenen ilgili kişiler açısından ihlal ne gibi sonuçlar doğuracaktır? | |
| Kişisel Verilerin yetkisiz erişim veya ihlale konu olduğu durumlarda, kriptolama gibi veri güvenliği önlemleri alınmış mıdır? | |
| Kişisel Verilerin akıbeti nedir? | |
| Üçüncü şahıslar bu ihlale konu Kişisel Veriler ile ne yapabilir veya ne gibi amaçlarla kullanabilir? | |
| Herhangi başka bir Kişisel Veri ihlali söz konusu mudur? | |
| Veri ihlali sicili tutulmakta mı? Evet ise, bu ihlal kayıt altına alındı mı? Tutulmamakta ise, neden? | |
| Olay ile ilgili ek bilgi ve yorumlar: | |
| İhlal var ise Kurula bildirim zorunludur. İşlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri Sorumlusu bu durumun farkına vardıktan sonra 72 saat içerisinde ilgilisine ve Kurula bildirir. Kurula yapılacak bildirimde Kurulun sayfasında yayımlanan aşağıdaki Kişisel Veri İhlali Bildirim Formunu https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/617f166c-24e1-42b5-a9cb-d756d6443af9.pdf veya Kurumun Veri İhlal Bildirim sistemi https://ihlalbildirim.kvkk.gov.tr/ kullanılmalıdır. | |
| Ne tip bir ihlal meydana geldi? | |
| Ne hacim/boyutta bir kişisel veri etkilendi? | |
| İhlale konu kişisel verilerden ilgili kişilerin tespiti ne oranda mümkün? | |
| İhlalden kaç kişi etkilendi? | |
| Olay ile ilgili ek bilgi ve yorumlar: | |
| İhlal var ise ihlalden etkilenen ilgili kişilere bildirim zorunludur. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.” | |
| İhlalden etkilenen ilgili kişiler tespit edildi mi? | |
| İlgili kişilere bildirim yapılmasının en hızlı ve güvenli yöntemi nedir? | |
| İhlalden etkilenen ilgili kişilere yapılacak bildirim hangi bilgileri içermektedir? (İhlalin etkilerini asgariye indirmek için, alınacak önlemler bildirim ile birlikte ilgili kişiye sunulmalıdır.) | |
| Veri Sorumlusu ile iletişime geçmek isteyen ilgili kişiler hangi iletişim kanallarını kullanmalıdır? Bu iletişim için Veri Sorumlusunun sağladığı olanaklar nelerdir? | |
| Bildirim yapılanların kaydı tutulmakta mıdır? Evet ise, nasıl? Hayır ise, neden? | |
| Olay ile ilgili ek bilgi ve yorumlar: | |
| Müdahale | |
| İhlal meydana geldiği an hangi veri güvenliği önlemleri devredeydi? | |
| İhlal ile birlikte hangi ek önlemler alındı? Herhangi bir ek önlem alınmadıysa neden alınmadığını açıklayınız. Alınmamış önlemler için zaman çizelgesi ekleyiniz. Ne ve ne zaman alınacağını açık bir biçimde listeleyiniz. | |
| İhlalin etkilerini asgari düzeye indirmek ve asgaride tutmak için neler yapılıyor? | |
| Müdahale Planının “Müdahale” alt başlıklı ilk iki fıkrası haricinde, gelecekte meydana gelmesi muhtemel veri ihlallerini engellemek için ek olarak ne gibi teknik ve idari tedbirler alınacaktır? | |
| Çalışanlara veri güvenliği bilincini arttırmak için eğitim verilmesi gerekli midir? Eğer hâlihazırda bu eğitimler veriliyorsa, eksikler nedir? | |
| Gizlilik riski değerlendirmesi (privacy risk assessment) yapılması gerekmekte midir? | |
| Olayla ilgili ek bilgi ve yorumlar: | |
| Müdahale Planı Onay Yetki ve İsim | |
| İsim: | |
| Görev: | |
| Tarih: | |
| İmza: |
- VERİ İHLALİ MÜDAHALE PLANI REVİZYON TARİHÇESİ
| Versiyon | Revizyon Tarihi | Revizyon Yapan Yetkili | Revizyon Özeti |
EK-1 FAZLA GIDA ANONİM ŞİRKETİ
VERİ İHLALİ MÜDAHALE KONTROL LİSTESİ
İşbu Veri İhlali Müdahale Planı Kontrol Listesinin (“Kontrol Listesi”), Fazla Gıda Anonim Şirketi (“FG” veya “Şirket”) Veri İhlali Müdahale Planı (“Müdahale Planı”) ile birlikte kullanılması tavsiye edilmekte ve bu Kontrol Listesinin periyodik olarak gözden geçirilerek Müdahale Planının revize edilmesi önerilmektedir.
| Önlemler Listesi | Önlem Uygulanmakta mıdır? | Açıklama |
| İhlal Şüphesi Öncesi Veri ihlalinin ne olduğuna ve çalışanlar, iş ortakları ve diğer yetkili kişilerin bu durum ile karşılaştıklarında ne yapmaları gerektiğine dair prosedür ve politikalar mevcuttur. | ||
| İhlal Şüphesinin Oluşması Veri ihlalinden şüphelenildiği durumlarda uygulanacak olan, Şirket içerisinde veri ihlallerinin bildirilmesi konusundaki görevlendirmelere ilişkin olarak oluşturulmuş bir yetki matrisi mevcuttur ve işbu bildirim kanalları açık tutulmaktadır. | ||
| İhlalin Saptanması Aşaması Veri ihlali müdahale ekibi oluşturulmuştur, ekip üyeleri belirlenmiştir, üyelerin görev ve yetkileri belirlenmiştir ve yine üyelerin astlarına veri ihlali durum bildirimi yapmasına ilişkin prosedür mevcuttur. | ||
| İhlal Sırasında Dışarıdan Uzman Yardımı Aşaması Veri ihlali durumunda uygulamaya konulması gerekip üçüncü şahıs/şirketlerden temin edilmesi mümkün uzmanlık gerektiren önlemlere erişim mevcuttur. | ||
| İhlal ve Risk Türleri Aşaması Müdahale Planı değişik türdeki ihlalleri kapsamaktadır ve değişkenlik gösteren risklere ve bu risklere karşı çare sunabilmektedir. | ||
| Değerlendirme Aşaması İhlal tespitleri değerlendirme kriterlerine uygun olarak yapılmaktadır. | ||
| İlgili Kişi İhlal Bildirimleri Aşaması İhlalden etkilenen ilgili kişilere bildirimler en geç 72 saat içerisinde yapılmaktadır. | ||
| Kurula Bildirim Aşaması Kurula en geç 72 saat içerisinde olmak suretiyle yapılacak bildirimde Kurulun sayfasında yayımlanan https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/617f166c-24e1-42b5-a9cb-d756d6443af9.pdf veya https://ihlalbildirim.kvkk.gov.tr/ adresindeki Kişisel Veri İhlali Bildirim Formu kullanılmaktadır. | ||
| Adli ve İdari Mercilere Bildirim Aşaması İhlal sonucunda adli veya idari mercilere bildirim yapılması gerekmesi durumunda, bu bildirimin kim tarafından, nasıl ve ne şekilde yapılacağı belirlenmiştir. | ||
| Veri Sorumlusunun Dışındakilere Bildirim Aşaması Veri ihlalinden veri sorumlusu dışında etkilenen kişiler olması halinde, bu kişilere bildirimin ne zaman, ne şekilde ve kim tarafından yapılacağı belirlenmiştir. | ||
| Loglama Sistemi ile İhlallerin Kayıt Altına Alınması Aşaması Uygun bir sistem ve politika vasıtasıyla tüm ihlaller kayıt altına alınmaktadır. | ||
| Sözleşmelerden Doğan Yükümlülüklerin Belirlenmesi Aşaması İmzalanmış olan sigorta poliçesi veya hizmet sözleşmeleri gibi borç doğuran akitlerin yarattığı yükümlülükler tespit edilmiştir. | ||
| Veri Muhafazası Sırasındaki Zayıflıkların Tespiti Aşaması Veri sorumlusunun kişisel verileri muhafazası sırasında olası tüm zayıflıkların tespiti ve işbu zayıflıkların bu ihlale nasıl neden olduklarının/olabileceklerinin tespitine ilişkin yöntemler belirlenmiştir. | ||
| Planın Testi Aşaması Plan düzenli olarak gözden geçirilmekte ve planın uyumluluğu test edilmektedir. | ||
| İhlal Sonrası Değerlendirme Raporlanması Aşaması İhlal sonrası değerlendirme yapılmaktadır ve ihlale ne derecede başarılı yanıt verilip verilmediği göz önünde bulundurularak veri ihlal müdahale planına ne oranda uyulduğu tespit edilip raporlanmaktadır. |
| Versiyon | Revizyon Tarihi | Revizyon Yapan Yetkili | Revizyon Özeti |
