TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ.
OLAY İHLAL YÖNETİM PROSEDÜRÜ
Belge Adı : TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ. Olay İhlal Yönetim Prosedürü
Kapsamı : TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ. tarafından kişisel verileri işlenen tüm gerçek kişiler
Hazırlayan : Hukuk Müşavirliği
Tarih/ Versiyon : 15/12/2021
Onaylayan : TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ. KVK Kurul yöneticileri tarafından onaylanmıştır.
İÇİNDEKİLER |
|
|
||
|
|
|
3 |
|
|
|
3 |
||
|
Kişisel Veri İhlali |
|
3 |
|
|
Kriz Müdahele Ekibi |
|
4 |
|
|
Kriz Müdahele Süreci |
|
4 |
|
|
Krize İlişkin Ön Değerlendirme |
|
4 |
|
|
Engelleme ve Kurtarma Çalışmalarının Yürütülmesi |
|
5 |
|
|
Risklerin Değerlendirilmesi |
|
5 |
|
|
Bildirim |
|
5 |
|
|
Kurula Bildirim |
|
5 |
|
|
İhlalden etkilenen kişilere bildirim |
|
6 |
|
|
Diğer bilgilendirme |
|
6 |
|
|
Değerlendirme ve İyileştirme |
|
6 |
|
|
İlgili Politika Ve Prosedürler |
7 |
|
|
|
Güncelleme |
7 |
|
|
|
EK- / Kriz Müdahale Akışı |
8 |
|
|
OLAY İHLAL YÖNETİM PROSEDÜRÜ
TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ.
. (TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ. “Şirket”) olarak, Kişisel verilerin korunması, TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ. ‘in en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya ‘‘Kanun’’) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz.
İşbu Olay Yönetim İhlal Prosedürü ile (“Prosedür”), kişisel verilerin Kanunu’nun (Kanun) 12. Maddesinin 5. fıkrasına göre şirketimizin (TROPİK EVCİL HAYVAN DÜNYASI VE HAYVAN ÜRÜNLERİ TİC. LTD.ŞTİ.) işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildirmekle yükümlüdür.
İşbu Olay Yönetim İhlal Prosedürü (Prosedür), kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde diğer bir deyişle, kişisel veri ihlali olması durumunda oluşacak krize nasıl müdahale edileceği ve atılacak adımların neler olduğu konusunda çalışanları bilgilendirmek amacıyla hazırlanmıştır.
Prosedür’ün uygulanmasından tüm çalışanlar sorumludur. Prosedüre aykırı hareket eden çalışanlar
“Disiplin Yönetmeliği” hükümlerine tabi olacaktır.
Kişisel Veri İhlali
Kişisel veri ihlali, kişisel verilerin kanuna aykırı bir şekilde elde edilmesi, hukuka aykırı bir şekilde kişisel verilere yetkisiz erişim sağlanması, kişisel verilerin yanlışlıkla/kasten yetkisiz kişilere açıklanması, kişisel verilerin hukuka aykırı bir şekilde silinmesi, değiştirilmesi veya bütünlüğünün bozulması gibi durumlarda ortaya çıkmaktadır.
Aşağıda yer alan durumlar genel olarak kişisel veri ihlali olarak değerlendirilir:
Kişisel veri içeren fiziki dokümanların veya elektronik cihazların çalınması veya kaybolması, Kişiye özel kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi, Gizli bilgilerin hukuka aykırı şekilde ifşası, Kişisel veri ve/veya gizli bilgi içeren e-postaların yanlışlıkla şirket dışında ilgisiz kişilere iletilmesi, gönderimi, IT ekipmanlarına, sistemlerine ve ağlarına virüs veya diğer saldırıların (öeğin siber saldırı) gerçekleşmesi suretiyle kişisel verilere hukuka aykırı erişim sağlanması.
Yukarıda belirtilen veya benzer durumlarda bu Prosedür’de belirtilen şekilde hareket edilmelidir.
Kriz Müdahale Ekibi
Kişisel veri ihlali durumunda oluşan veya oluşabilecek kriz durumuna müdahale etmek ve Kanun kapsamında öngörülen yükümlülükleri yerine getirmek için aşağıdaki departmanlardan belirlenen katılımcıların dahil edileceği bir Kriz Müdahale Ekibi (Ekip) oluşturulur:
Veri Sorumlusu İrtibat Kişisi
Veri Sorumlusu Üst Yöneticisi (Genel Müdür)
İhlalin Meydana Geldiği Departmanın Yöneticisi
KVK Kurulu
Kriz Müdahale Süreci
Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulu’nun 24.01.2019 Tarih ve 2019/10 Sayılı Kararı (Karar) uyarınca, Şirket’in kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirmesi ve veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi inteet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.
Söz konusu yükümlülüklerin yerine getirilebilmesi için, bir veri ihlali durumunda öncelikle şirket içerisinde belirli adımlar takip edilmelidir:
Krize ilişkin ön değerlendirme, Engelleme ve kurtarma çalışmalarının yürütülmesi, Risklerin değerlendirilmesi, Bildirim, Değerlendirme ve İyileştirme.
5.1. Krize İlişkin Ön Değerlendirme
Şirket nezdinde gerçek veya potansiyel bir veri ihlalinin söz konusu olması halinde, ilgili tüm çalışanlar Veri Sorumlusu İrtibat Kişisi ’ne derhal ve gecikmeksizin durumu bildirmekle yükümlüdür. Bu kapsamda ilgili çalışan aşağıdaki hususları içerir bir rapor hazırlayarak, veri ihlalini Veri Sorumlusu İrtibat Kişisi ‘ne bildirir.
Kişisel veri ihlalinin gerçekleşme tarihi ve saati, Kişisel veri ihlalinin tespiti tarihi ve saati, Kişisel veri ihlali olayına ilişkin açıklamalar, Eğer biliniyorsa kişisel veri ihlalinden etkilenen kişi ve kayıt sayısı, Kişisel veri ihlalinin tespit edildiği tarihte varsa atılan adımlara, alınan önlemlere ilişkin açıklamalar, Raporu hazırlayan çalışanın/çalışanların adı soyadı, iletişim bilgileri ve rapor tarihi.
Veri Sorumlusu İrtibat Kişisi, rapor kapsamında belirtilen hususları dikkate alarak bir ön değerlendirme yapar. Bu değerlendirmeyi yaparken, gerçekten bir veri ihlalinin söz konusu olup olmadığını, ihlalin kapsamını, oluşabilecek etkilerini de göz önünde bulundurarak, Ekip ile veri ihlalinin araştırılması için kapsamlı bir soruşturma başlatır.
5.2. Engelleme ve Kurtarma Çalışmalarının Yürütülmesi
Veri ihlalinin Şirket ve ilgili kişiler üzerindeki etkilerinin azaltılabilmesi için engelleme ve kurtarma çalışmaları ekibin gözetiminde yürütülür. Bu kapsamda öncelikle veri ihlalinden haberdar edilmesi gereken departmanlar tespit edilir ve bu kişilere ihlalin kontrol edilebilmesi, mümkünse engellenebilmesi ve zararların azaltılabilmesi için atılması gereken adımlara ilişkin rehberlik edilir.
Akabinde veri ihlalinden etkilenecek kişilerin ve kayıtların neler olduğu tespit edilmeye çalışılır ve varsa bu kişilerin iletişim bilgileri de belirlenir. Eş zamanlı olarak, veri ihlali nedeniyle haberdar edilmesi gereken başka kurum ya da kuruluşlar olup olmadığı değerlendirilir.
5.3. Risklerin Değerlendirilmesi
Kişisel veri ihlalleri, ihlalden etkilenen kişiler üzerinde kimlik hırsızlığı, hakların kısıtlanması dolandırıcılık, finansal kayıp, itibar kaybı, kişisel verilerin güvenliğinin kaybı, ayrımcılık gibi birçok olumsuz etki oluşturabilir. Bu nedenle kişisel veri ihlalinin olası sonuçlarının Şirket ve ihlalden etkilenen kişiler üzerinde ne gibi etkiler oluşturabileceğinin dikkatli bir şekilde değerlendirilmesi ve risklerin ortaya koyulması çok önemlidir.
Ekip tarafından riskler değerlendirilirken, ihlalden etkilenen kişisel verilerin niteliği, hassasiyeti ve hacmi ile etkilenen bireylerin sayısı ve kişi gruplarının kimler olduğu, veri ihlalinin Şirket’in faaliyetleri ile itibarına olan etkisi, veri ihlalinin etkisinin azaltılmasında alınan önlemler ve ihlalin olası sonuçları ayrı ayrı ele alınmalıdır. Bunların sonucuna göre veri ihlali “düşük düzeyde, orta düzeyde veya yüksek düzeyde risk” olarak nitelendirilir:
Düşük düzeyde risk: İhlal ilgili kişiler üzerinde olumsuz herhangi bir etkiye neden olmamakta ya da bu etki ihmal edilebilir düzeyde kalmaktadır.
Orta düzeyde risk: İhlal ilgili kişiler üzerinde olumsuz etkilere neden olabilir fakat bu etki büyük değildir.
Yüksek düzeyde risk: İhlal etkilenen kişiler üzerinde ciddi düzeyde olumsuz etkilere neden olmaktadır.
Orta ve özellikle yüksek düzeyde risk olarak tanımlanan veri ihlallerine ilişkin KVK kurluna Ekip tarafından bilgi verilir.
5.4. Bildirim
Veri ihlalinin gerek hukuki yükümlülük kapsamında gerekse veri ihlaline ilişkin tedbir alınması, ihlalin olası etkilerinin azaltılması gibi amaçlarla Şirket dışında üçüncü kişilere bildirilmesi gerekmektedir.
5.5. Kurul’a bildirim
Veri Sorumlusu İrtibat Kişisi, öncelikle kişisel veri ihlalinden haberdar olduğu andan itibaren gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bu durumu bildirmekle yükümlüdür. Bu nedenle, Şirket içerisinde tüm çalışanların herhangi bir veri ihlali durumunu vakit kaybetmeksizin Veri Sorumlusu İrtibat Kişisi ‘ne bildirmesi, Şirket’in herhangi bir yaptırımla karşı karşıya kalmaması için önem arz etmektedir.
Kurul’a yapılacak bildirimde Kişisel Verileri Koruma Kurumu’nun (Kurum) inteet sitesinde yayınlanmış olan Kişisel Veri İhlali Başvuru Formu4 kullanılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir.
Haklı bir gerekçe ile 72 saat içerisinde Kurul’a bildirim yapılamaması durumunda, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanır.
5.6. İhlalden Etkilenen Kişilere Bildirim
Şirket, kişisel veri ihlalinden etkilen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa uygun yöntemlerle (öeğin inteet sitesi üzerinden duruma ilişkin bir duyuru yayınlanması) bildirim yapmalıdır. Söz konusu bildirimler, Ekibin desteğiyle Veri Sorumlusu İrtibat Kişisi tarafından gerçekleştirilir.
Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca Şirket tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak aşağıdaki unsurları içermesi gerekir:
İhlalinin ne zaman gerçekleştiği, Kişisel veri kategorileri bazında (kişisel veri/özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği, Kişisel veri ihlalinin olası sonuçları, Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler, İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun inteet sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi.
İlgili bildirim (başvuru) formuna şu adresten ulaşılabilecektir. http://petbox.com.tr/kvkk.php
5.7. Diğer Bildirimler
Şirket’in hukuken yapması zorunlu olan bildirimlerin yanı sıra, veri ihlalinin niteliği, büyüklüğü, ihlalin suç teşkil edip etmediği gibi hususlar göz önünde bulundurularak üçüncü kişilere de bildirim yapılması gerekebilir. Bu kişiler, diğer veri sorumluları ya da veri işleyenler, dış danışmanlar, adli makamlar, bankalar olabilir. Ekip, böyle bir gereklilik olup olmadığını ayrıca değerlendirir ve gerekli ise bildirimleri yapar.
5.8. Değerlendirme ve İyileştirme
Şirket tarafından kişisel veri ihlallerine ilişkin tüm bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul’un incelemesine hazır halde bulundurulması gerekmektedir. Veri Sorumlusu İrtibat Kişisi ve Ekip, veri ihlaline ilişkin atılan adımların uygun olup olmadığını ve olası bir veri ihlalinde geliştirilebilecek/ iyileştirilebilecek hususların neler olabileceğini belirlemek adına bir değerlendirme yapar. Bu kapsamda Ekip, aşağıdaki unsurları içerir bir değerlendirme ve iyileştirme raporu hazırlar.
Olası kişisel veri ihlallerinin etkilerini azaltmak için hangi adımların atılması gerektiği Kişisel veri ihlali nedeniyle herhangi bir politika, prosedür ya da raporlamada iyileştirme
gerekip gerekmediği
Kişisel veri ihlalinin tekrarlanmasını önleyebilmek için ek bir idari ve/veya teknik tedbir alınmasının gerekli olup olmadığı, İhlalin tekrarlanmasını önleyecek bir personel farkındalık eğitimi gerekliliği, İhlallere maruz kalmayı ve maliyet etkilerini azaltmak için kaynaklara/altyapıya ek yatırım yapılmasının gerekli olup olmadığı
İlgili Politika Ve Prosedürler
Bu Prosedür, Şirket nezdinde kişisel verilerin korunması ve işlemesine ilişkin yürürlüğe konmuş tüm politika ve prosedürler ile ele alınmalıdır.
Güncelleme
Bu Prosedür kurumsal ya da yasal kaynaklı içeriklerindeki değişiklik gereksinimlerine bakılmaksızın yılda bir kez gözden geçirilerek kayıt altına alınır. Prosedür güncellenmemiş olsa bile, mevzuatta meydana gelen değişiklikler derhal uygulanacaktır.
EK-1 / Kriz Müdahale Akışı
Veri Sorumlusu İrtibat Kişisi ve Ekip, kişisel veri ihlalinin değerlendirmesini yapar ve sonraki adımları belirler. |
Kişisel veri ihlali, kriz müdahale sürecine göre yönetilir. |
İlgili departman yöneticileri bilgilendirilir. |
Veri ihlalinden haberdar olunmasından itibaren en geç 72 saat içerisinde Kurul’a ve veri ihlalinden etkilen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirimde bulunulur. Bildirim yapılması gereken diğer kişiler de bulunuyorsa bunlara da bildirim yapılır. |
Değerlendirme ve İyileştirme aşaması sonuçlandırılır. |
Veri ihlaline ilişkin bilgiler, veri ihlalinin etkileri ve alınan önlemler kayıt altına alınarak Kurul’un incelemesine hazır halde bulundurulur. |
Riskler ve sonuçları değerlendirilir. |
Veri ihlali kontrol altına alınır. |
Kişisel veri ihlali Veri Sorumlusu İrtibat Kişisi’ne rapor ile bildirilir.* |
Gerçek veya potansiyel bir kişisel veri ihlali tespit edilir. |
* Şirket nezdinde gerçek veya potansiyel bir veri ihlalinin söz konusu olması halinde, ilgili tüm çalışanlar Veri Sorumlusu İrtibat Kişisine derhal ve gecikmeksizin durumu bildirmekle yükümlüdür.