VERİ İHLALİ HALİNDE KRİZ YÖNETİM VE

BİLDİRİM POLİTİKASI

1.GİRİŞ

1.1 Amaç

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ("Kanun”) uyarınca Veri Sorumlusu olan Hakman Elektronik San. ve Tic. A.Ş. ("Şirket”), kendi bünyesinde bir Veri İhlali durumu yaşanması halinde, ihlal durumunun Kişisel Veriler Koruma Kurulu ("Kurul”) ile İlgili Kişi’ye bildirimine dair Şirket içinde izlemesi gereken prosedürü ve ihlal gerçekleştikten sonra yapılması gereken iş ve işlemleri işbu Kişisel Veri İhlali Durumunda Kriz Yönetimi ve Bildirim Politikası ("Politika”) ile belirlemeyi amaçlamaktadır.

1.2 Kapsam

Şirket bünyesinde bir Veri İhlali yaşanması durumunda uygulanacak iş ve işlemler ile Kurul ve Veri İlgilisine yapılacak bildirim prosedürü işbu Politika kapsamında açıklanmış olup herhangi bir ihlal halinde Politika’da açıklanan yönetim süreci uygulama alanı bulacaktır.

1.3 Kısaltmalar ve Tanımlar

İşbu politika özelinde, aşağıda yer alan ifadeler kendilerine verilen anlamlarda kullanılacaktır:

●Çalışan: Hakman Elektronik San. ve Tic. A.Ş. personelini,

●Form: Kişisel Veriler Koruma Kurulu’nun 24.01.2019 tarihli 2019/10 sayılı kararı ile yayınlanan kişisel veri ihlali bildirim formunu,

●Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu,

●Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

●Kurul: Kişisel Verileri Koruma Kurulunu,

●Kurum: Kişisel Veriler Koruma Kurumunu,

●Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

●Politika: Kişisel Veri İhlali Halinde Kriz Yönetimi ve Bildirim Politikası’nı,

●Veri İhlali: Hakman Elektronik San. ve Tic. A.Ş.’ninhâkimiyet alanında olan Kişisel Veriler’in, Şirket içinden veya dışından ‘hukuka aykırı olarak işlenmesi’, ‘hukuka aykırı olarak erişilmesi’, ‘hukuka aykırı olarak elde edilmesi’ veya ‘Kişisel Veriler’in muhafazasını sağlama, amacıyla Şirket tarafından alınan ve güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin yetkisiz kişilerce aşılması’ durumunu,

●Veri İhlali Müdahale Planı: Hakman Elektronik San. ve Tic. A.Ş. nezdinde Veri İhlali yaşanması durumunda yürütülecek prosedürü,

●Veri İlgilisi: Kişisel verisi işlenen ve Veri İhlaline uğrayan gerçek kişiyi,

●Veri Sorumlusu: Hakman Elektronik San. ve Tic. A.Ş. ifade edecektir.

2.KİŞİSEL VERİ İHLALİ DURUMUNDA KRİZ YÖNETİMİ VE BİLDİRİM

2.1. Sorumluluk ve Görev Dağılımları

Hakman Elektronik San. ve Tic. A.Ş. nezdinde bir Veri İhlali yaşanması durumunda uygulanacak prosedür, Kurulun 24.01.2019 tarihli 2019/10 sayılı kararına uygun olarak hazırlanmıştır. Herhangi bir ihlal olduğu zaman aşağıda belirtilen birimler ve çalışanlar aşağıdaki süreçleri yürüteceklerdir:

●İhlalden şüphe eden tüm çalışanlar Hakman Elektronik San. ve Tic. A.Ş.’yebildirim yapmalıdır.

●Hakman Elektronik San. ve Tic. A.Ş. içerisinde araştırma yapılması ve Veri İhlali Müdahale Planı’nın (EK 1 - Veri İhlali Müdahale Planı) harekete geçirilmesi gerekmektedir.

●Veri İhlali’nin kaynağı, ihlalin ne zaman gerçekleştiği ve ne zaman öğrenildiğinin tespit edilmesi gerekmektedir.

●Etkilenen kişisel veri kategorilerinin ve kişi sayısının tespit edilmelidir.

●Veri İhlali’ne ilişkin mevcut risk ve tehditlerin belirlenmelidir.

●İşbu Politika’nın 2.2. maddesinde yer alan usuller çerçevesinde Veri İhlalinin Kuruma bildirilmesi için Veri İhlal bildirimi hazırlanmalıdır. İhlalden etkilenen İlgili Kişiler tespit edilemiyorsa, bu durum Kuruma yapılacak bildirim içerisinde belirtilmelidir.

●İhlalden etkilenen İlgili Kişiler tespit edilebiliyorsa, İşbu Politika’nın 2.3. maddesinde yer alan usuller çerçevesinde İlgili Kişilere yapılacak olan bildirimler hazırlanmalı ve gönderilmelidir.

 

2.2.Veri İhlali’nin KVKK Kuruluna Bildirilmesi Usulü

Veri İhlali, Kurulun 24.01.2019 tarihli 2019/10 sayılı kararı uyarınca, ihlali öğrendikleri tarihten itibaren en geç 72 saat içinde Kurula bildireceklerdir.

İhlalin Kurula bildirilmesi için yukarıda tayin edilen sürenin yeterli olmaması ve bu durumun haklı bir gerekçeye dayanması halinde, yapılacak geç bildirimde ‘gecikmenin gerekçesini’ de Kurul’a açıklayacaklardır.

Veri İhlali durumunda, Kurula yapılacak bildirimde "Kişisel Veri İhlal Bildirim Form”u kullanacaklardır. (Formun güncel hali KVKK Kurumunun web sayfasından kontrol edilmelidir)

Form’da yer alan bilgilerin tek seferde sağlanamaması durumunda eksik bilgileri elde eder etmez ve gecikmeye mahal vermeksizin aşamalı olarak Kurula bildireceklerdir.

Yaşanan Veri İhlalleri’ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.

Veri İhlali’ni aşağıda yer alan yollardan biriyle Kurul’a bildireceklerdir.

 

a) E-posta ile bildirim: Bildirimin ilk bildirim olması durumunda, doldurulan Form’u ”ihlalbildirimi@kvkk.gov.tr” adresine ‘Kişisel veri ihlali bildirimi’ konulu bir e-posta ekiyle göndereceklerdir. Eğer yapılacak bildirim bir takip bildirimi ise, Form’u ilk bildirimde gönderdikleri e-postanın ekine ekleyeceklerdir.

 

b) Posta ile bildirim: Form’un, posta ile gönderilmesine karar verilirse, "Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi Ziyabey Cad. 1407. Sok. No:4, 06520 Çankaya/Ankara” adresine APS ile göndereceklerdir.

 

c) Web sayfası üzerinden bildirim: Bildirimin Kurum’un web sayfası üzerinden yapılması istenirse, https://ihlalbildirim.kvkk.gov.tr/ adresli web sayfasından "Bildirim Oluştur” bağlantısına girilmek ve çıkan sayfadaki adımların takip edilmesi suretiyle ve Kurum’un www.kvkk.gov.tr adresli web sayfasında yayınlanan "Kişisel Veri İhlali Bildirim Formu Kılavuzu”na uygun olarak bildirimi yapacakladır.

 

2.3.Veri İhlali’nin İlgili Kişilere Bildirilmesi Usulü

 

Hakman Elektronik San. ve Tic. A.Ş. nezdinde herhangi bir ihlal olduğu zaman, Veri İhlali’ni, ilgili kişilerin belirlenmesini müteakip makul olan en kısa sürede İlgili kişilere bildireceklerdir.

İlgili kişilere yapılacak bildirimde asgari olarak aşağıda yer alan içeriğe yer vereceklerdir:

●İhlalinin ne zaman gerçekleştiği,

●Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,

●Kişisel veri ihlalinin olası sonuçları,

●Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,

●İlgili kişilerin, Veri İhlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da Hakman Elektronik San. ve Tic. A.Ş. web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları.

Yaşanan Veri İhlalleri’ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.

Veri İhlali’ni aşağıda açıklanan şekilde ilgili kişilere bildireceklerdir:

 

●İlgili kişinin iletişim adresine ulaşabiliyorlarsa bu adrese posta gönderilmesi ile;

●Eğer ilgili kişinin iletişim adresine ulaşılamıyorsa, Hakman Elektronik San. ve Tic. A.Ş. web sayfası üzerinden yayımlanması ile;

●Hakman Elektronik San. ve Tic. A.Ş. tarafından mevzuata uygun olarak belirlenecek bir diğer yöntem ile.

3.POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

İşbu Politika, Hakman Elektronik San. ve Tic. A.Ş. içinde erişime açık olan elektronik ortak alanda saklanmaktadır.

4.POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenecektir.

5. ONAYLAR

 

Versiyon	Onay Tarihi	Onaylayan	İmza
1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

EK 1 –VERİ İHLALİ MÜDAHALE PLANI

Hakman Elektronik San. ve Tic. A.Ş.çalışanları, şirket bünyesinde bir Veri İhlali olduğunda uygulanacak yöntemler açısından işbu Politika ve şirket yetkilileri tarafından verilecek talimatlara uyacaklardır. Çalışanlar, Şirket içerisinde yaşanan Veri İhlali veya Veri İhlalinden şüphelendikleri konularda şirket yetkilisine, ihlali derhal açıklamak suretiyle yazılı olarak bilgi vereceklerdir.

Veri İhlali tespit edildiği anda kim tarafından tespit edildiği önemli olmaksızın Politika’da açıklanan Veri İhlali Müdahale Planı devreye sokulacaktır. Yapılacak araştırmada; ‘’Veri İhlali’nin kaynağının tespiti, ihlalin ne zaman gerçekleştiği ve ne zaman tespit edilebildiği, etkilenen kişisel veri kategorilerinin tespit edilmesi, Veri İhlali’ne ilişkin mevcut risk ve tehditlerin belirlenmesine’’ ilişkin aksiyonlar alınacaktır. Olası risk ve tehditler belirlenirken aşağıdaki hususlara dikkat edilmesi gerekmektedir:

●Kişisel verilerin özel nitelikli kişisel veri olup olmadığı;

●Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği;

●Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınması gerekecektir.

Bu risklerin tanımlanması ve önceliğinin belirlenmesine ilişkin raporlama yapılacak olup, söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik Veri İhlali Müdahale Planı’nda açıklanan ve aşağıda yer alan önlemlerin uygulamaya konulması gerekecektir:

1.Siber Güvenliğin Sağlanması: Kişisel veri içeren bilgi teknoloji sistemlerine gelen izinsiz erişim tehditlerine karşı ilk savunma hattı olacaktır. Herhangi bir Veri İhlali yaşanması durumunda;

●Yetkisiz erişim/saldırının Şirket içerisinde mi yoksa Şirket dışından mı yapıldığının belirlenmesi sağlanacaktır,

●Şirket sistemlerine yetkisiz erişim/saldırının halen devam edip etmediğinin belirlenmesine çalışılacaktır,

●İhlalin sebebi araştırılacaktır,

●İhlalin Şirket nezdinde yaratabileceği iş sürecine ilişkin potansiyel sorunların belirlenmesine ilişkin çalışma yapılacaktır,

●İhlal ile alakalı olduğu düşünülen kısımlara ilişkin şifreler ile erişim yetki ve kontrol matrisinde gerekli değişiklikler yapılacak ve gerekirse erişim yetkileri sınırlandırılacaktır,

●İhlale konu olan veya suça konu veya aracı olduğu düşünülen cihazlar muhafaza edilecek ve acil müdahale gerektirmeyen durumlarda üzerinde gerekli hukuki tespitler yapılıncaya kadar kullanılamayacaktır,

●İhlal sonrası hizmete alınması gereken sistemlerin tekrar hayata geçirilmesi, ihlal yaşanan kısımla ilgili genel güvenlik tedbirlerinin değerlendirilmesi, eksik görülen noktaların raporlanarak düzeltilmesi ve ek tedbirlerin getirilmesi faaliyetleri gibi işlemler devreye alınacaktır.

 

2. Veri İhlaline İlişkin Unsurların Kayıt Altına Alınması: Yaşanan Veri İhlaline ilişkin ihlal kaynağının tespiti, ihlalin ne zaman gerçekleştiği ve ne zaman tespit edildiği ile etkilenen kişisel veri kategorilerinin tespiti kayıt altına alınacak ve Kurulun incelemesine hazır halde bulundurulacaktır.

 

3. Yedeklenen Kişisel Verilerin Faaliyeti Geçirilmesi: Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir.