1. Ana Sayfa
  2. KVKK

KİŞİSEL VERİ İHLALİ MÜDAHALE PLANI

KİŞİSEL VERİ İHLALİ MÜDAHALE PLANI

İDEAL KURUYEMİŞ

İMALAT NAK. TURZ. TARIM ÜR. GIDA İNŞ. İHR. İTH. SAN. VE TİC. LİMİTED ŞİRKETİ

KİŞİSEL VERİ İHLALİ MÜDAHALE PLANI

 

İDEAL KURUYEMİŞ İMALAT NAK. TURZ. TARIM ÜR. GIDA İNŞ. İHR. İTH. SAN. VE TİC. LİMİTED ŞİRKETİ

ADRES      : Yassıhöyük Mah. 49 Sok. No:17    

                    Acıpayam/DENİZLİ

TELEFON  : 0258 591 38 46

e-posta    : [email protected] 

web          : www.idealkuruyemis.com

 

DENİZLİ-2021

İÇİNDEKİLER

 

1.GİRİŞ ................................................................................................................................... 3

 

1.1 Amaç .................................................................................................................... 3

1.2 Kapsam ................................................................................................................ 3

1.3 Kişisel Verileri Koruma Kurulu Kararı.................................................................... 3

 

2.SORUMLULUK VE GÖREV DAĞILIMLARI ............................................................................. 5

 

3.KİŞİSEL VERİ İHLALİ GERÇEKLEŞMESİ HALİNDE RAPORLAMA YAPILACAK KİŞİLER……......... 6

 

4.KANUN KAPSAMINDA YAPILACAK BİLDİRİMLER…………...................................................... 7

 

5.KİŞİSEL VERİ İHLALİNİN OLASI SONUÇLARININ DEĞERLENDİRİLMESİ................................. 7

 

6. PLANIN YAYINLANMASI VE SAKLANMASI ......................................................................... 8

 

7.PLANIN GÜNCELLENME PERİYODU ................................................................................... 8

 

8.PLANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI ................................................... 8

1. GİRİŞ

 

1.1 Amaç

 

Kişisel Veri ihlali Müdahale Planı (“Plan”), İdeal Kuruyemiş İmalat Nak. Turz. Tarım Ür. Gıda İnş. İhr. İth. San. ve Tic. Ltd.  Şirketince (“Şirket”) gerçekleştirilmekte olan kişisel veri saklama ve işleme faaliyetleri sırasında, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, ihlalden etkilenmiş kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini veya en aza indirilmesini  sağlamak için  yapılacak iş ve işlemler konusunda usul ve esasları belirlemek amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) (“KVKK”) 12/5. Maddesine istinaden ve Kişisel Verileri Koruma Kurulunun (“Kurul”) Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 tarih ve 2019/10 sayılı Kararına uygun olarak  hazırlanmıştır.

 

Kişisel veri ihlalinin tespiti halinde yapılacak  iş ve işlemler, Şirket tarafından hazırlanmış olan Plana uygun olarak gerçekleştirilir.

 

1.2 Kapsam

 

Kişisel Veri ihlali Müdahale Planı, kişisel Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler, bildirimin şekli ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi    konularını kapsamaktadır.

 

1.3 Kişisel Verileri Koruma Kurulunun, Kişisel Veri İhlali Bildirim Usul ve  

 Esaslarına İlişkin 24.01.2019 tarih ve 2019/10 sayılı Kararı

 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında Kurul tarafından bu konuda alınacak kararlar arasında herhangi bir uyumsuzluğa mahal verilmemesi ve uygulamada bir standartlaşma sağlanabilmesini teminen; Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı ile;

  • Kanunun 12 nci maddesinin (5) numaralı fıkrasının “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir….” hükmünde yer alan “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine, veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmasına,
  • Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
  • Kurula yapılacak bildirimde aşağıda yer verilen “Kişisel Veri İhlal Bildirim Form”unun kullanılmasına,
  • Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,

 

 

 

  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına,
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunmasına,
  • Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmasına,
  • Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesine

karar verilmiştir.

 

 

 

2. SORUMLULUK VE GÖREV DAĞILIMLARI

 

Şirketin tüm birimleri ve çalışanları, Şirketimiz tarafından saklanmakta ve işlenmekte olan kişisel verilere yetkisiz veya kanuni olmayan yollarla müdahale edildiğini öğrendikleri anda  yöneticilerine veya sorumlu birimlere durumu bildirmekle yükümlüdürler.

 

 

Kişisel Veri ihlali Müdahale Planı süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.

Tablo 1: Kişisel Veri ihlali Müdahale Planı görev dağılımı

 

UNVAN

 

 

BİRİM

 

GÖREV

 

 

Şirket Müdürü

 

İdeal Kuruyemiş İmalat Nak. Turz. Tarım Ür. Gıda İnş. İhr. İth. San. ve Tic. Ltd. Şti.

 

Çalışanların Plana uygun hareket etmesinden sorumludur.

 

 

 

 

 

 

Şirketin Sözleşmeli Danışman Avukatı

 

 

 

 

 

Hukuk Bürosu

 

Kişisel Veri ihlali Müdahale Planının hazırlanması ve güncellenmesinden sorumludur.

 Kişisel veri ihlalinin tespiti halinde Kanun kapsamında yapılacak bildirimleri hazırlamak ve süreci takip etmekle yükümlüdür.

 

 

Bilişim Teknolojileri Hizmet Sağlayıcısı Şirket

 

 

 

 

Bilişim Teknolojileri Şirketi

 

Planın yayınlanmasında ve uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

 

 

 

 

Bölüm Yöneticileri

 

 

 

 

 

Diğer Birimler

 

Veri ihlalinin olası sonuçlarının değerlendirilmesinden ve görevlerine uygun olarak Planın yürütülmesinden sorumludurlar.

 

 

3. KİŞİSEL VERİ İHLALİ GERÇEKLEŞMESİ HALİNDE ŞİRKET NEZDİNDE RAPORLAMA YAPILACAK KİŞİLER

 

Kişisel veri ihlalinin tespiti halinde derhal, tespiti yapan personel tarafından bağlı olduğu  Bölüm Yöneticisine,  Şirket Müdürüne ve Şirket Danışman Avukatına durum raporlanacaktır. Kuruma ve ilgili kişilere yapılacak bildirimlere esas olmak üzere, Raporlamada;

 

  • İhlalin gerçekleştiği tarih ve saat,
  • İhlalin tespit edildiği tarih ve saat,
  • İhlalin kaynağı,
  • İhlalden etkilenen kişisel veri kategorileri,
  • İhlalden etkilenen tahmini kişi ve kayıt sayısı,
  • İhlalden etkilenen ilgili kişi grupları ve
  • İhlalin ilgili kişiler üzerindeki etkileri (Finansal kayıp, İtibar kaybı gibi)

 

belirtilecektir.

 

4. KANUN KAPSAMINDA YAPILACAK BİLDİRİMLER

 

KVKK  12/5. maddesine ve Kurulun  Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 tarih ve 2019/10 sayılı Kararına  istinaden,  kişisel veri ihlalinin tespiti üzerine gecikmeksizin ve  en geç 72 saat içerisinde Veri Sorumlusu adına yetkilendirilen Danışman Avukat tarafından Kurula bildirim yapılacaktır.

 

Ayrıca Şirket tarafından söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa  Şirketin web sitesi üzerinden yayımlanmak suretiyle bildirim yapılacaktır.

 

Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanacaktır.

 

Kurula yapılacak bildirimde Kurul tarafından yayınlanan ve ekte örneğine yer verilen “Kişisel Veri İhlal Bildirim Formu” kullanılacaktır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanacaktır.

 

5. KİŞİSEL VERİ İHLALİNİN OLASI SONUÇLARININ DEĞERLENDİRİLMESİ

 

Kişisel Veri ihlali tespit edilmesi halinde ilgili Bölüm sorumlusu, Şirket danışman Avukatı ve Şirket Müdürü ile birlikte yapılacak değerlendirme ile veri ihlalinin olası sonuçları tespit edilmeye çalışılacaktır. Ayrıca Kurulun  Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 tarih ve 2019/10 sayılı Kararına  istinaden;

  • Veri ihlaline ilişkin bilgiler, etkileri ve alınan önlemler kayıt altına alınacak ve Kurulun incelemesine hazır halde bulundurulacaktır.
  • Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda Şirketimize bildirimde bulunmasını müteakip plan doğrultusunda gerekli işlemler Şirketimizce yerine getirilecektir.

 

6. PLANIN YAYINLANMASI VE SAKLANMASI

 

Plan, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket Merkezinde dosyasında saklanır.

 

7. PLANIN GÜNCELLENME PERİYODU

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

 

8. PLANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

 

Plan, Şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Planın ıslak imzalı eski nüshaları Şirket tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 10 yıl süre ile Şirket Merkezinde saklanır.

EK: Kişisel Veri İhlali Bildirim Formu