Kişisel Veri Acil Durum Eylem Planı

Kişisel Veri Acil Durum Eylem Planı

1. Giriş ve Planın Amacı

Kişisel Verilerin Korunması Kanunu’nun (KVKK) 12. maddesinin 5. fıkrasına göre SELPAR TEKNOLOJİ VE TİCARET LTD. ŞTİ. (Şirket), işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na (Kurul) bildirmekle yükümlüdür.

İşbu “Kişisel Veri İhlali Müdahale Planı” (Plan), 24.01.2019 tarih ve 2019/10 sayılı Kişisel Verileri Koruma Kurulu kararı (Karar) uyarınca hazırlanmıştır. Plan, olası veri ihlallerinde nasıl müdahale edileceğini ve çalışanların izlemesi gereken adımları belirlemek amacıyla oluşturulmuştur.

2. Kişisel Veri İhlali

Kişisel veri ihlali, iletilen, saklanan veya işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi veya yetkisiz şekilde açıklanması durumlarını kapsar.

Kişisel Veri İhlali Olarak Nitelendirilen Durumlar:

  • Gizli bilgilerin hukuka aykırı şekilde ifşası
  • Kişisel veri içeren e-postaların yanlış kişilere iletilmesi
  • Siber saldırılar sonucunda kişisel verilere hukuka aykırı erişim sağlanması
  • Fiziki dokümanların veya elektronik cihazların çalınması veya kaybolması
  • Kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi

3. İhlal Müdahale Timi

İhlal tespit edildiğinde irtibat kişisine bildirilir, ardından KVKK Komisyonu “acil” koduyla toplantıya çağrılır. Veri ihlalinin gerçekleştiği birimin yöneticisi de toplantıya katılır.

4. İhlal Müdahale Süreci

Kişisel veri ihlali tespit edildiğinde, Şirket’in en geç 72 saat içinde Kurul’a bildirim yapması ve ilgili kişilere en kısa sürede ihlal hakkında bilgi vermesi gerekmektedir.

4.1. İhlale İlişkin Ön Değerlendirme

İhlalin tespiti durumunda, ilgili çalışanlar vakit kaybetmeden Veri Sorumlusu İrtibat Kişisi’ne detaylı bir rapor sunmalıdır.

4.2. Önleme ve Kurtarma Çalışmalarının Yürütülmesi

Veri ihlalinin etkilerinin azaltılması için ilgili birimler tespit edilir ve ihlalin kontrol edilmesi için gerekli önlemler alınır.

4.3. Risklerin Değerlendirilmesi

İhlalin boyutu ve etkileri analiz edilerek, ihlaller 1. kademe (düşük risk), 2. kademe (orta risk) ve 3. kademe (yüksek risk) olarak sınıflandırılır.

4.4. Bildirim

4.4.1. Kurul’a Bildirim

İhlal tespit edildikten sonra en geç 72 saat içinde Kişisel Verileri Koruma Kurulu’na bildirilmelidir.

4.4.2. İhlalden Etkilenen Kişilere Bildirim

Etkilenen kişilere doğrudan veya internet sitesi üzerinden bildirim yapılmalıdır.

4.4.3. Diğer Bildirimler

İhlalin niteliğine bağlı olarak, adli makamlar, tedarikçiler ve bankalar gibi üçüncü taraflara bildirim yapılabilir.

4.4.4. İhlal Sonrası Durum Tespiti

Tüm ihlal bilgileri kayıt altına alınarak Kurul’un incelemesine hazır hale getirilmelidir.

5. KVKK Uyum Sürecinin Bütünlüğü

Bu plan, kişisel verilerin korunmasıyla ilgili diğer politika ve dokümanlarla birlikte uygulanmalıdır.

6. Sorumluluk

Planın uygulanmasından tüm şirket çalışanları sorumludur. Plana aykırı hareket eden çalışanlar hakkında disiplin işlemleri uygulanacaktır.

7. Güncelleme

Bu plan yılda bir kez gözden geçirilir ve gerektiğinde güncellenir. Mevzuatta meydana gelen değişiklikler anında Plana işlenir.

8. Güncelleme Kaydı

Son Güncelleme Tarihi: Evrakta henüz güncelleme yapılmamıştır.

9. Yürürlük Tarihi

Bu belge, internet sitesinde yayınlandığında veya çalışanlara bildirim yapıldığında yürürlüğe girer.

Yürürlük Tarihi: …/…/2022