KVKK Kriz Yönetim Politikası
OTTO INTERNATIONAL DERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİ İHLALİ HALİNDE KRİZ YÖNETİMİ POLİTİKASI
Revizyon Tarihi:
İçindekiler
1. GİRİŞ
1.1. Amaç
1.2. Kapsam
1.3. Kısaltmalar ve Tanımlar
2. SORUMLULUK VE GÖREV DAĞILIMLARI
3. VERİ İHLALİ’NİN KURUL’A BİLDİRİLMESİ
4. VERİ İHLALİ’NİN VERİ İLGİLİSİNE BİLDİRİLMESİ
4.1. Şirket Sorumlu Birimine Bildirim ve Şirket Nezdinde Araştırma Yapılması
4.1.1. Siber Güvenliği Sağlanması
4.1.2. Fiziksel Veri Güvenliğinin Sağlanması
4.1.3. Veri İhlaline İlişkin Unsurların Kayıt Altına Alınması
4.1.4. Kurul’a Veri İhlali Bildirimi Yapılması
4.1.5. Yedeklenen Kişisel Verilerin Faaliyete Geçirilmesi
5. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
6. POLİTİKA’NIN GÜNCELLENME PERİYODU
7. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1.GİRİŞ
1.1. Amaç
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesinin 5. fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmüne havi olup, Kanun uyarınca Veri Sorumlusu konumunda olan OTTO INTERNATIONAL DERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ (“Şirket”), kendi bünyesinde bir Veri İhlali durumu yaşandığında, ihlal durumunun Kişisel Veriler Koruma Kurulu’na (“Kurul”)bildirimine dair Şirket içinde izlenmesi gereken prosedürü ve ihlal gerçekleştikten sonra yapılması gereken iş ve işlemleri işbu Kişisel Veri İhlali Halinde Kriz Yönetimi Politikası (“Politika”) ile belirlemeyi amaçlamaktadır.
1.2. Kapsam
Şirket bünyesinde bir Veri İhlali veya Potansiyel Veri İhlali yaşanması durumunda uygulanacak iş ve işlemler Politika kapsamında açıklanmış olup herhangi bir ihlal halinde bu Politika’da açıklanan yönetim süreci uygulama alanı bulur.
1.3. Kısaltmalar ve Tanımlar
Bu politika özelinde, aşağıdaki ifadeler aşağıda kendilerine verilen anlamlarda kullanılmaktadır:
· Çalışan: Şirket personelini;
· Form: Kişisel Veriler Koruma Kurulu’nun 24.01.2019 tarihli 2019/10 sayılı kararı ile yayınlanan kişisel veri ihlali bildirim formunu;
· Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu;
· Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
· Kurul: Kişisel Verileri Koruma Kurulunu;
· Kurum: Kişisel Veriler Koruma Kurumunu;
· Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
· Politika: Veri İhlali Halinde Kriz Yönetimi Politikasını;
· Potansiyel Veri İhlali: Çalışanlar tarafından Şirket bünyesinde potansiyel olarak Veri İhlali riski yaratan durumu;
· Veri İhlali: Şirket’in hakimiyet alanında olan Kişisel Verilerin, Şirket içinden veya dışından “hukuka aykırı olarak işlenmesi”, “hukuka aykırı olarak erişilmesi”, “hukuka aykırı olarak elde edilmesi” veya “Kişisel Veriler’in muhafazasını sağlama, amacıyla Şirket tarafından alınan ve güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin yetkisiz kişilerce aşılması” durumu;
· Veri İhlali Müdahale Planı: Şirket nezdinde Veri İhlali yaşanması durumunda yürütülecek prosedürü;
· Veri İlgilisi: Kişisel verisi işlenen ve Veri İhlali’ne uğrayan gerçek kişiyi.
· Veri Sorumlusu: Otto International Deri Sanayi ve Ticaret Limited Şirketi’ni ifade eder.
2. SORUMLULUK VE GÖREV DAĞILIMLARI
Potansiyel Veri İhlali’nin veya Veri İhlali’nin değerlendirilmesi, veri ihlalinin olası sonuçlarının değerlendirilmesi, ihlale ilişkin Şirket nezdindeki sorumluluğun kimde olduğuna dair değerlendirmenin yapılması ve Veri İhlali durumunda Şirket nezdinde raporlamayı yapacak Şirket birim ve Çalışanları ile bu kişilerin görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Şirket Nezdinde Veri İhlaline İlişkin Raporlama Yapılması
UNVAN | BİRİM | GÖREV | İHLALE İLİŞKİN RAPORLAMA YAPILACAK BİRİM VE ÇALIŞAN |
Tüm Çalışanlar
| Tüm Departmanlar | İhlalden şüphe eden tüm Çalışanlar bildirim yapmalıdır. | Şirket sorumlu birimi _____________ |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | Potansiyel Veri İhlali durumu varsa bu durumun Veri İhlali olup olmadığı hususunda karar verir. | MUHASEBE/ MUHASEBE SORUMLUSU |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | Veri İhlali ile ilgili bilgi toplar, etkilenen kişisel veri kategorilerini ve kişi sayısının tespit eder. | MUHASEBE/ MUHASEBE SORUMLUSU |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | Şirket içerisinde araştırma yapılması ve 4. Maddede yer alan Veri İhlali Müdahale Planı’nın harekete geçirilmesi gerekmektedir. | MUHASEBE/ MUHASEBE SORUMLUSU |
AHMET ATAY | BİLGİ İŞLEM | Kurul’a Şirketi’n “Veri İhlali Halinde Bildirim Politikası” kapsamında yapacağı bildirim sonrası yedeklenen verilerin faaliyete geçirilmesi ve Şirket faaliyetlerinin devamını sağlar. | MUHASEBE/ MUHASEBE SORUMLUSU |
3. VERİ İHLALİ DURUMUNDA KRİZ YÖNETİMİ
Şirket nezdine bir Veri İhlali veya Potansiyel Veri İhlali yaşanması durumunda, prosedür, Kurul’un 24.01.2019 tarihli 2019/10 sayılı kararına uygun olarak hazırlanmıştır. Herhangi bir ihlal olduğu zaman, Politika’nın “Sorumluluk ve Görev Dağılımları” başlıklı 2. maddesinde açıklanan birim ve Çalışanlar aşağıdaki süreçleri yürüteceklerdir:
· Şirket sorumlu birimine bildirim yapılması;
· Şirket içerisinde araştırma yapılması ve Veri İhlali Müdahale Planı’nın harekete geçirilmesi;
· Veri İhlali’nin kaynağının tespiti;
· İhlalin ne zaman gerçekleştiği ve ne zaman tespit edilmesi;
· Etkilenen kişisel veri kategorilerinin ve kişi sayısının tespit edilmesi;
· Veri İhlali’ne ilişkin mevcut risk ve tehditlerin belirlenmesi;
· Kurul’a ‘’Kişisel Veri İhlal Bildirim Politikası’’ çerçevesinde Veri İhlali’ne ilişkin bildirim yapılması;
· Kurul’a Veri İhlali bildirimi sonrası yedeklenen verilerin faaliyete geçirilmesi.
4.VERİ İHLALİ’NE İLİŞKİN UYGULANMASI GEREKEN PROSEDÜR VE VERİ İHLALİ MÜDAHELE PLANI
Şirket’in tüm birimleri ve çalışanları, Şirket bünyesinde bir Veri İhlali veya Potansiyel Veri İhlali olduğunda uygulanacak yöntemler açısından işbu Politika ve Şirket’in yetkili birim ve çalışanları tarafından verilecek talimatlara uyacaklardır.
4.1. Şirket Sorumlu Birimine Bildirim ve Şirket Nezdinde Araştırma Yapılması
Çalışanlar, Şirket içinde yaşanan Veri İhlali veya Potansiyel Veri İhlali konularında sorumlu birimlere ihlali, derhal açıklamak suretiyle yazılı olarak bilgi verir.
Veri İhlali tespit edildiği anda kim tarafından tespit edildiği önemli olmaksızın Politika’da açıklanan Veri İhlali Müdahale Planı devreye sokulur. Tablo:1’de yer alan kişiler kendilerine yapılan bildirim akabinde ihlale ilişkin araştırma yapılmasına başlarlar. Yapılacak araştırmada; ‘’Veri İhlali’nin kaynağının tespiti, ihlalin ne zaman gerçekleştiği ve ne zaman tespit edilebildiği, etkilenen kişisel veri kategorilerinin tespit edilmesi, Veri İhlali’ne ilişkin mevcut risk ve tehditlerin belirlenmesine’’ ilişkin aksiyonlar alınır. Olası risk ve tehditler belirlenirken aşağıdaki hususlara dikkat edilmesi gerekmektedir:
· Kişisel verilerin özel nitelikli kişisel veri olup olmadığı;
· Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği;
· Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesine ilişkin raporlama yapılır. Söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik Veri İhlali Müdahale Planı’nda açıklanan ve aşağıda yer alan önlemler uygulamaya konulmalıdır:
4.1.1. Siber Güvenliğin Sağlanması: Kişisel veri içeren bilgi teknoloji sistemlerine gelen izinsiz erişim tehditlerine karşı ilk savunma hattı olacaktır. Herhangi Potansiyel Veri İhlali veya Veri İhlali yaşanması durumunda;
· Yetkisiz erişim/saldırının şirket içinden mi yoksa şirket dışından mı yapıldığının belirlenmesi sağlanacaktır,
· Şirket sistemlerine yetkisiz erişim/saldırının halen devam edip etmediğinin belirlenmesine çalışılacaktır,
· İhlalin sebebi araştırılacaktır,