KVKK Kişisel Veri İhlal Bildirim Politikası
OTTO INTERNATIONAL DERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİ İHLAL BİLDİRİM POLİTİKASI
Revizyon Tarihi:
İçindekiler
1. GİRİŞ
1.1. Amaç
1.2. Kapsam
1.3. Kısaltmalar ve Tanımlar
2. SORUMLULUK VE GÖREV DAĞILIMLARI
3. VERİ İHLALİ’NİN KURUL’A BİLDİRİLMESİ
4. VERİ İHLALİ’NİN VERİ İLGİLİSİNE BİLDİRİLMESİ
5. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
6. POLİTİKA’NIN GÜNCELLENME PERİYODU
7. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1.GİRİŞ
1.1. Amaç
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. Maddesinin 5. fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmüne havi olup, Kanun uyarınca Veri Sorumlusu konumunda olan OTTO INTERNATIONAL DERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ (“Şirket”), kendi bünyesinde bir Veri İhlali durumu yaşandığında, ihlal durumunun Kişisel Veriler Koruma Kurulu (“Kurul”) ile Veri İlgilisi’ne bildirimine dair Şirket içinde izlenmesi gereken prosedürü işbu Kişisel Veri İhlal Bildirim Politikası (“Politika”) ile belirlemeyi amaçlamaktadır.
1.2. Kapsam
Şirket bünyesinde bir Veri İhlali yaşanması durumunda Kanun uyarınca Kurul’a ve Veri İlgilisi’ne yapılması gereken bildirimlere ilişkin uygulanacak iş ve işlemler Politika kapsamında olup herhangi bir ihlal halinde bu Politika’da açıklanan bildirim süreci uygulama alanı bulur.
1.3. Kısaltmalar ve Tanımlar
İş bu politikada aşağıda belirtilen ifadeler aşağıdaki anlamlarda kullanılmaktadır:
· Çalışan: Şirket personelini;
· Form: Kişisel Veriler Koruma Kurulu’nun 24.01.2019 tarihli 2019/10 sayılı kararı ile yayınlanan “kişisel veri ihlali bildirim formu”nu;
· Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu
· Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
· Kurul: Kişisel Verileri Koruma Kurulunu;
· Kurum: Kişisel Veriler Koruma Kurumunu;
· Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
· Politika: Kişisel Veri İhlal Bildirim Politikası’nı;
· Potansiyel Veri İhlali: Çalışanlar tarafından Şirket bünyesinde potansiyel olarak Veri İhlali riski yaratan durumu;
· Veri İhlali: Şirket’in hakimiyet alanında olan Kişisel Verilerin, Şirket içinden veya dışından “hukuka aykırı olarak işlenmesi”, “hukuka aykırı olarak erişilmesi”, “hukuka aykırı olarak elde edilmesi” veya “Kişisel Veriler’in muhafazasını sağlama, amacıyla Şirket tarafından alınan ve güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin yetkisiz kişilerce aşılması” durumunu;
· Veri İlgilisi: Kişisel verisi işlenen ve Veri İhlali’ne uğrayan gerçek kişiyi;
· Veri Sorumlusu: Otto International Deri Sanayi ve Ticacet Limited Şirketi’nii ifade eder.
2.SORUMLULUK VE GÖREV DAĞILIMLARI
Şirket’in tüm birimleri ve çalışanları, Şirket bünyesinde bir Veri İhlali veya Potansiyel Veri İhlali olduğunda yapılacak bildirimler açısından işbu Politika ve Şirket’in yetkili birim ve çalışanları tarafından verilecek talimatlara uyarak, yaşanan Veri İhlali veya Potansiyel Veri İhlali konularında sorumlu birimlere ihlali, derhal içerisinde açıklamak suretiyle yazılı olarak bilgi verir.
Veri İhlali konusunda Şirket nezdinde sorumlu olan birime,
· Şayet ortada Potansiyel Veri İhlali durumu varsa bu durumun Veri İhlali olup olmadığı hususunda karar verir.
· Eğer ortada bir Veri İhlali durumu varsa, bu durum hakkında Protokol uyarınca Kurul’a ve Veri İlgilisi’ne gerekli bildirimi yapar.
Potansiyel Veri İhlali’nin değerlendirilmesi, veri ihlalinin olası sonuçlarının değerlendirilmesi, ihlale ilişkin Şirket nezdindeki sorumluluğun kimde olduğuna dair değerlendirmenin yapılması ve Veri İhlali durumunda Kurul ile Veri İlgilisi’ne yapılacak bildirimleri gerçekleştirecek Şirket birim ve Çalışanları ile bu kişilerin görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Sorumlu Şirket Birim Ve Çalışanları
UNVAN | BİRİM | GÖREV
| İHLALE İLİŞKİN RAPORLAMA YAPILACAK BİRİM VE ÇALIŞAN |
Tüm Çalışanlar
| Tüm Departmanlar | İhlalden şüphe eden tüm Çalışanlar bildirim yapmalıdır. | Şirket sorumlu birimi _____________ |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | Potansiyel Veri İhlali durumu varsa bu durumun Veri İhlali olup olmadığı hususunda karar verir. | MUHASEBE/ MUHASEBE SORUMLUSU |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | Veri İhlali ile ilgili bilgi toplar, etkilenen kişisel veri kategorilerini ve kişi sayısının tespit eder. | MUHASEBE/ MUHASEBE SORUMLUSU |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | İhlalden etkilenen Veri İlgilileri’ni tespit edilebiliyorsa, İşbu Politika’nın 4. maddesinde yer alan usuller çerçevesinde Veri İlgilileri’ne yapılacak olan bildirimleri hazırlar ve gönderir. | MUHASEBE/ MUHASEBE SORUMLUSU |
BİLGİ İŞLEM SORUMLUSU | BİLGİ İŞLEM | İşbu Politika’nın 3. maddesinde yer alan usuller çerçevesinde Veri İhlalinin Kurum’a bildirilmesi için bildirim hazırlar. İhlalden etkilenen Veri İlgilileri tespit edilemiyorsa, bu durum Kurum’a yapılacak bildirim içerisinde belirtilmelidir. | MUHASEBE/ MUHASEBE SORUMLUSU |
3.VERİ İHLALİ’NİN KURUL’A BİLDİRİLMESİ
Şirket nezdine bir Veri İhlali yaşanması durumunda, ihlale ilişkin Kurul’a yapılacak bildirime dair izlenecek bu maddedeki prosedür, Kurul’un 24.01.2019 tarihli 2019/10 sayılı kararına uygun olarak hazırlanmıştır. Yukarıda belirlenen görev paylaşımı kapsamında, Veri İhlali’ni, en geç ihlali öğrendikleri tarihten itibaren 72 saat içinde Kurul’a bildireceklerdir.
İhlalin Kurul’a bildirilmesi için yukarıda tayin edilen sürenin yeterli olmaması ve bu durumun haklı bir gerekçeye dayanması halinde, yapılacak geç bildirimde “gecikmenin gerekçesini” de Kurul’a açıklayacaklardır.
Veri İhlali durumunda, Kurul’a yapılacak bildirimde Politika’nın ekinde yer alan “Kişisel Veri İhlal Bildirim Form”u kullanacaklardır. (Ek 1: Kurul tarafından yayınlanan Kişisel Veri İhlal Bildirim Formu”)
Sorumlu birimin, Form’da yer alan bilgileri tek seferde sağlayamaması durumunda eksik bilgileri elde eder etmez ve gecikmeye mahal vermeksizin aşamalı olarak Kurul’a bildireceklerdir.
Yaşanan Veri İhlalleri’ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.
Veri İhlali’ni aşağıda yer alan yollardan biriyle Kurul’a bildireceklerdir.
a)E-posta ile bildirim: Bildirimin ilk bildirim olması durumunda, doldurulan Form’u ”[email protected]” adresine “Kişisel veri ihlali bildirimi” konulu bir e-posta ekiyle göndereceklerdir. Eğer yapılacak bildirim bir takip bildirimi ise, Form’u ilk bildirimde gönderdikleri e-postanın ekine ekleyeceklerdir.
b)Posta ile bildirim: Formun, posta ile gönderilmesine karar verilirse, “Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi Ziyabey Cad. 1407. Sok. No:4, 06520 Çankaya/Ankara” adresine APS ile göndereceklerdir.
c)Web sayfası üzerinden bildirim: Bildirimin Kurum’un web sayfası üzerinden yapılması istenirse, https://ihlalbildirim.kvkk.gov.tr/ adresli web sayfasından “Bildirim Oluştur” bağlantısına girilmek ve çıkan sayfadaki adımların takip edilmesi suretiyle ve Kurum’un www.kvkk.gov.tr adresli web sayfasında yayınlanan “Kişisel Veri İhlali Bildirim Formu Klavuzu”na uygun olarak bildirimi yapacakladır.
4.VERİ İHLALİ’NİN VERİ İLGİLİSİNE BİLDİRİLMESİ
Şirket nezdinde bir Veri İhlali yaşanması durumunda, ihlale ilişkin Veri İlgilisi’ne yapılacak bildirime dair izlenecek bu maddedeki prosedür Kurul’un 24.01.2019 tarihli 2019/10 sayılı kararına ve Kurul’un 18.09.2019 tarihli 2019/271s. kararına uygun olarak hazırlanmıştır. Herhangi bir ihlal olduğu zaman, Politika’nın “2. Sorumluluk ve Görev Dağılımları” başlıklı maddesinde açıklanan birim ve Çalışanlar aşağıdaki kurallar çerçevesinde ihlal bildirimini yapacaktır:
Veri İhlalini, Veri İlgilileri’nin belirlenmesini müteakip makul olan en kısa sürede Veri İlgilisi’ne bildireceklerdir.
Veri İlgilisi’ne yapılacak bildirimde asgari olarak aşağıda yer alan içeriğe yer vereceklerdir:
· İhlalinin ne zaman gerçekleştiği,
· Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
· Kişisel veri ihlalinin olası sonuçları,
· Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
· Veri İlgililerinin Veri İhlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da Şirket’in web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları
Yaşanan Veri İhlalleri’ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.
Veri İhlali’ni aşağıda açıklanan şekilde Veri İlgilisi’ne bildireceklerdir:
· Veri İlgilisi’nin iletişim adresine ulaşabiliyorlarsa bu adrese posta ile,
· Eğer Veri İlgilisi’nin iletişim adresine ulaşamıyorlarsa, Şirket’in web sitesi üzerinden yayımlanması ile
5.POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, https://www.ottoangelino.com.tr adresli web sayfasında kamuya açıklanır. Basılı kağıt nüshası da Şirketin İdari işler departmanında muhafaza edilen ilgili dosyasında saklanır.
6.POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. İstenildiği zaman Politika’nın en güncel haline https://www.ottoangelino.com.tr adresli web sayfasından ulaşılabilir.
7.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirket’in web sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.