SANDALYECİ DAYANIKLI TÜKETİM MALLARI MOBİLYA SANAYİ VE TİCARET ANONİM ŞİRKETİ VERİ İHLAL MÜDAHALE PLANI
1-AMAÇ VE KAPSAM
Sandalyeci Dayanıklı Tüketim Malları Mobilya Sanayi ve Ticaret Anonim Şirketi (Bu plan metninde Sandalyeci veya Şirket olarak anılacaktır.)
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. Maddesinde yer alan “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü yer almaktadır.
Bu kapsamda Kişisel Verilerin Korunması Kurumu’na veri ihlalinin öğrenilmesinden itibaren gecikme olmaksızın en geç 72 saat içerisinde ihlal bildirilmeli, söz konusu ihlal kişilerin hak ve özgürlüklerine yönelik yüksek risk oluşturmakta ise, veri ihlalinden etkilenen ilgili kişilere de bildirimde bulunulmalıdır. Gerekli olduğu durumlarda kolluk ve diğer kuruluşlara da bilgi verilmesi gerekmektedir.
İşbu plan Kişisel Verileri Koruma Kurulu’nun 24.01.2019 Tarihli, 2019/10 Sayılı Kararı ile, veri ihlal bildirimlerinde ortaya çıkabilecek olumsuzlukların önüne geçmek maksadıyla önlemler alınmasını, bu kapsamda veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, sorumluluğun kimde olduğunun belirlenmesini içeren bir veri ihlali müdahale planı hazırlanması yükümlülüğü sebebiyle hazırlanmıştır.
Bu Müdahale Planı ile şirket, işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından elde edilmesi halinde, şirket tarafından uygulanacak prosedürlerin belirlenmesi amaçlanmaktadır. Önemle belirtmek gerekir ki, iş bu müdahale planı çerçevesinde uygulanacak olan faaliyetlerin odak noktası, olası bir veri ihlali durumunda kişisel verilerin korunması için hızlı bir şekilde eyleme geçilmesini sağlamak ve şirketin en kısa sürede veri ihlalinin sonuçlarının tespit edilmesini ve gerekli aksiyonların alınmasını sağlamaktır.
2-TANIMLAR ve KISALTMALAR
İlgili Kişi :Kişisel verisi işlenen gerçek kişi.
Kişisel Veri :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Veri İşleyen :Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu :Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Yönetim Kurulu :Şirket tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında kurum bünyesinde gerekli koordinasyonu sağlayan ve bu noktada şirket yönetimini oluşturan kurul.
Kişisel Veri Koruma Görevlisi :İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Yönetim Kurulu’na raporlanmasından, saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Yönetim Kurulu’na raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumlu kişidir.
Özel Nitelikli Kişisel Veri :Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlık bilgileri, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kurul :Kişisel Verileri Koruma Kurulu
İhlalden Haberdar Olmak :Veri sorumlusu, verilerin güvenliğinin tehlikeye gireceğine neden olan bir güvenlik ihlali olayının meydana geldiğine dair makul bir kesinlik derecesine sahip olduğunda, veri sorumlusunun ihlalden haberdar olduğu kabul edilmektedir.
Hasar :Kişisel verilerin değiştirilmiş veya bozulmuş halidir.
Kayıp :Veriler hala mevcut olabilir, ancak denetleyici veriler üzerinde sahip olduğu kontrolünü veya erişimini kaybetmiştir veya verileri artık elinde bulundurmamaktadır.
Geçici veri kaybı :Kişisel verilerin bir süre için kullanılamaz hale getirilmesine neden olan olay.
İmha :Verilerin artık mevcut olmaması veya veri sorumlusunun herhangi bir şekilde kullanabileceği bir biçimde mevcut olmaması.
Kişisel Veri İhlali :İletilen, saklanan veya işlenen kişisel verilerin kazara veya yasa dışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik ihlalidir.
Yetkisiz veri işleme :Kişisel verilerin, verilere erişme yetkisi olmayan alıcılar tarafından ulaşabilir hale gelmesi veya 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun hükümlerini ihlal eden başka herhangi bir işleme biçimi.
3-YÜKÜMLÜLÜKLER
İş bu müdahale planının tüm şirkette işleyiş, faaliyet ve süreçlerinde ve uygulanmasında, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde şirket genelinde tüm çalışanlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler iş birliği yapmakla yükümlüdür. Şirketin tüm organ ve departmanları Veri İhlali Müdahale Planı’nın uygulanmasından sorumlu olup bu kapsamda,
Şirket bünyesinde veri işleme faaliyetinde bulunanlar Şirket adına işlemekte oldukları kişisel verilerin güvenliğinin ihlal edildiğinden haberdar olur olmaz derhal Kişisel Verilerin Korunması Kanunu kapsamında Yönetim Kuruluna bildirimde bulunmakla mükelleftir.
4-MÜDAHALE PLANI
Olası bir kişisel veri güvenliği ihlalinde aşağıda açıklandığı şekilde süreci yönetilmelidir.
4.1 İhlal Şüphesi
· Şirket bünyesinde veri sorumlusu tarafından belirlenemeyen şahıs ya da şahıslar tarafından şirkete ait sunuculara erişilmiş ise,
· Şirket bünyesinde çalışan personelin kullanmış olduğu programlarda olağan dışı sorgulamalar yapılmış ise,
· Şirket bünyesinde çalışan personele tahsis edilen cihazlara ve kurumsal mail hesaplarına yetkisiz kişiler tarafından giriş yapılmış ise,
· Şirket bünyesinde kullanılan sistemlerde olağan dışı bir teknik aksaklık meydana gelmiş ise,
yeterli ihlal şüphesi oluşmuş olacaktır.
4.2 İhlalin Haber Verilmesi veya İhlalden Haberdar Olunması
Veri ihlalini tespit eden kişi veya ihlal olabileceğinden şüphelenen kişi, bu durumu şirket bünyesinde veri güvenliği konusunda görevlendirilen yetkili kişiye ve Kişisel Veri Koruma Görevlisine gecikmeksizin haberdar etmelidir. Şirket bünyesinde Yönetim Kurulu’na ayrıca tespitler bildirilmelidir.
4.3 Veri İhlalinin ve Etkilerinin Tespiti
İhlalden haberdar olan Kişisel Veri Koruma Görevlisi ihlale ilişkin ön bir değerlendirme yapmalı, ihlalin niteliğini, kaynağını ve boyutunu tespit ederek öncelikle mevcut durumda ihlale ilişkin olarak İhlal Ön Tespit Raporu düzenlemelidir.
Kişisel Veri Koruma Görevlisi düzenleneceği İhlal Ön Tespit raporunda; aşağıda sıralanmış olan sorulardan hareketle (sadece bunlara bağlı kalmaksızın) ihlalin niteliğini tespit etmelidir.
· Kişisel veriler dijital ortamda veya fiziksel olarak yanlış kişilere gönderilerek yetkisiz kişilerin erişimine açılmış mı?
· Şirket bünyesinde kişisel veri içeren dosya veya evraklar hukuki olmayan yollar ile üçüncü kişiler tarafından ele geçirilmiş mi?
· Şirket bünyesine zimmetli cihazlarda eksik var mı?
· Şirket personelinin söz konusu ihlalde ihmali var mı?
· Veri ihlalinden etkilen veri kategorileri neler, ihlal özel nitelikli kişisel verileri içeriyor mu?
· İhlalden etkilenen kişi grupları kimler, engellilere ait veriler ihlalden etkilendi mi?
· Veri ihlalinden etkilenen kişi sayısı tahmini olarak nedir ve kayıt altına alındı mı?
· Veri ihlali ihlalden etkilenenler üzerinde ne gibi etkiler mevcut?
4.4 Veri İhlalinin Tespiti Durumunda Teknik ve İdari Ekibin Oluşturulması
Kişisel Veri Koruma Görevlisi; tespit edilen ihlal sebebiyle ilgili kişiler açısından oluşacak riskleri tespit edecek olup, ihlal durumunun iyileştirilmesi ve ihlalin giderilerek ihlal öncesi duruma dönülebilmesi için gerekli önlemlerini almak için teknik veya hukuki bir ekip oluşturmalıdır. Şirketin tüm personelleri Kişisel Veri Koruma Görevlisi ve oluşturduğu ekipte görev alan personele gerekli tüm yardımı sağlamakla mükelleftir.
4.5 Veri İhlali İle İlgili Olay Kronolojisinin Oluşturulması Yapılması Gerekenlerin Tespiti
Kişisel Veri Koruma Görevlisi, Kişisel Verileri Koruma Kurulu tarafından yayımlanan Veri İhlal Bildirimi Formunda belirtilen hususları göz önünde bulundurarak; ihlalle ilgili tüm bilgileri kaydederek yazılı bir olay kronolojisi hazırlayacaktır. Söz konusu kronolojide;
• İhlalin bildirildiği tarih ve saat (GG / AA / YYYY ve 24 saatlik zaman dilimi formatı kullanarak),
• Bildirim kesinleşmemiş, olası bir ihlalle ilgiliyse, bir ihlalin gerçekten meydana gelip gelmediğini belirlemek için yürütülen ön soruşturmaya dair bilgi ve belgeler,
• Konuyu kimin ihbar ettiğine ilişkin bilgi ve belgeler,
• İlk aşamada nelerin bilindiği ve nelerden şüphelenildiği,
• Veri ihlalinin hangi sistem ile ilişkili olduğuna dair ayrıntıları içerir bilgi ve belgeler,
• İlgili gerçek kişilerin hak ve özgürlüklerine yönelik riskin değerlendirilmesi,
• Somut olaya göre acil olarak alınması gereken tedbirler,
• Yardımcı olmak için toplanan ekip ve bu ekibin plan dahilinde almış olduğu görevler,
• Gerekli olduğu durumlarda gecikmeye yer vermeksizin etkilenen kişilere yapılacak bildirimin nasıl olacağının detayları yer almalıdır.
4.6 Kişisel Verilerin Korunmasına Yönelik Tedbirlerin Alınması
Sandalyeci tespit edilen ihlal sebebiyle, muhafaza edilen kişisel verilere yetkisiz erişimin önlenmesi amacıyla gerekli tedbirleri uygulamaya koyacak olup, veri ihlalinin dijital verileri ilgilendirmesi durumunda şirket bünyesinde zararın giderilmesi ve tespitlerin doğru sağlanabilmesi için, kişisel veriler ve ihlalle bağlantılı olarak alınması gereken tedbirleri almak durumundadır. Alınacak olan tedbirler verinin niteliğine göre değişecek olup aşağıda sıralı örnek tedbirler olabilir.
Teknik anlamda;
a) Güvenlik açığı tespit edilerek açık bir kurum kullanıcı tarafından kaynaklı ise ilgili kullanıcı hesabının engellenmesi,
b)Gerekli olması halinde kurum içerisinde yer alan bilgisayarlara ve ağlara erişiminin engellenmesi,
c) Sistematik bir saldırı söz konusu ile siber güvenlik tedbirlerinin alınması,
d) Veri kaybını önlemek için güvenli şekilde kişisel verilerin anlık olarak yedeklenmesi,
İdari anlamda;
a) Güvenlik açığının kurum içerisinde yer alan üst yönetim yetkililerine bildirilmesi,
b)Veri işleyenler ile irtibata geçilerek mevcut ihlal hakkında veri işleyenlerin bilgilendirilmesi ile veri işleyenlerin kendi bünyelerinde uygun güvenlik önlemleri alarak idari ve teknik tedbirleri uygulamasının sağlanması,
c)Veri ihlalinin niteliğine göre ilgili kişilere yapılacak olan bildirimin usulünün ve yönteminin belirlenmesi,
d) Veri ihlalinden etkilenen kişi ve kayıt sayısının tespit edilerek yetkililere bildirilmesi,
e) Veri ihlalinden etkilen verilerin özel nitelikli kişisel veriler olması durumunda hassas grupların ihlalden etkilenme boyutunun tespit edilerek ihlalin etkilerinin ortadan kaldırılabilmesi için gerekli yöntemin belirlenmesi,
f)Veri ihlaline kurum personelinin ihmalinin sebebiyet vermesi durumunda söz konusu personel hakkında yapılacak işlemlerin belirlenmesi,
g)Kurum içerisinde personel farkındalığının yetersiz olduğu kanaatine varılması halinde, gerekli çalışmaların yapılabilmesi için Yönetim Kurulu’na ve yetkililerine eksik olan hususların bildirilmesi,
4.7 Risk Analizinin Yapılması ve Tespitlerin Sağlanması
Şirketin bir veri ihlali olması durumunda, gerçekleşen bu ihlalin gerçek kişiler nezdinde bir riske sebebiyet verip vermediği yönünde etraflıca bir risk analizi yapması gerekmektedir. Yapılacak olan risk analizinde, ihlal nedeniyle daha büyük mağduriyet yaşaması muhtemel olan, korunmaya muhtaç kişiler göz önünde bulundurulmalı ve hassasiyet gösterilmelidir. Söz konusu risk analizi yapılırken aşağıda sıralı kategorik ayrım göz önünde bulundurulmalıdır.
Düşük Risk :İhlal ilgili kişiler üzerinde olumsuz herhangi bir etkiye neden olmamakta ya da bu bu etki ihmal edilebilir düzeyde kalmaktadır. Örneğin ilgili kişiler veri ihlali sebebiyle ufak çaplı stres yaşayabilir.
Orta Risk :İlgili kişiler, üstesinden gelebilecekleri olumsuzluklarla karşılaşabilirler fakat bu etki büyük bir etki değildir. Örneğin kurum bünyesinde gerçekleşen veri ihlali sebebiyle işleyiş aksayabilir, ilgili kişiler zaman kaybedebilir, ek maliyet gerektiren durumlar ile karşılaşabilir.
Yüksek Risk :İlgili kişiler üstesinden gelmeleri gereken ciddi sonuçlarla karşılaşabilirler. Örneğin ilgili kişiler maddi zarara uğrayabilir, iş kaybı yaşayabilir, psikolojik veya fiziksel rahatsızlık yaşayabilir, veri ihlali sebebiyle adli soruşturma geçirebilir.
5- KURULA BİLDİRİM
Kişisel verilerin ve özel nitelikli kişisel verilerin riske girebileceği tüm olaylar, gereksiz gecikmeksizin ve ihlal durumundan haberdar olunduktan itibaren en geç 72 saat içerisinde Kişisel Verilerin Korunması Kuruluna bildirilmelidir.
Bu bildirim Kişisel Verilerin Korunması Kurumu’nun internet sayfası olan www.kvkk.gov.tr adresinde yer alan Kişisel Veri İhlal Bildirim Formu ile yapılacaktır.
Bildirim Formunda yer alan alanlar eksiksiz doldurulacak olup, yapılacak olan bildirimde asgari olarak aşağıdaki hususlara yer verilmelidir.
· Veri Sorumlusunun unvanı/adı ve adresi:
· Bildirimi hazırlayan kişinin adı, soyadı, görevi, e-postası, telefonu
· İhlalin kaynağı, gerçekleşme tarihi, saati, ihlalin tespit tarihi, saati ve ihlalin nasıl gerçekleştiği hakkında bilgi (Örneğin kişisel verilerin yanlış alıcılara gönderilmesi, belge/cihaz hırsızlığı, verilerin güvensiz ortamlarda depolanması, zararlı yazılımlar, sosyal mühendislik, sabotaj, kaza/ ihmal vb)
· İhlalden etkilenen veri kategorileri (Örneğin kimlik, iletişim, lokasyon, özlük gibi kişisel veriler ve sağlık verileri, ırk ve etnik köken gibi özel nitelikli veriler)
· İhlalden etkilenen kişi grupları (Örneğin çocuklar, diğer hassas gruplar, engelli kişiler, çalışanlar, vatandaşlar).
· Veri ihlalinden etkilenen kişi ve kayıt sayısı.( Tahmini olarak)
· Bildirimin yapılmasında herhangi bir gecikme yaşanması durumunda gecikme sebebi
· İhlalin ilgili kişiler üzerindeki olası etkilerinin tarifi (Örneğin kişisel veriler üzerinde kontrol kaybı, kimlik hırsızlığı, ayrımcılık, hakların kısıtlanması, dolandırıcılık, finansal kayıp, itibar kaybı, mesleki gizli bilgilerin ifşa olma riski vb).
· İlgili kişilere hangi yöntemle bildirim yapıldığı veya yapılacağı
· Şirket tarafından ihlalden önce alınan idari ve teknik tedbirler ile ihlale müdahale etmek için alınan ya da alınması planlanan tedbirlerin tarifi. (Örneğin yanlışlıkla gönderilmiş olan verilerin yok edilmesi, şifrelerin güvenliğinin sağlanması, veri güvenliği eğitiminin planlanması gibi)
· Şirket tarafından ihlalin olumsuz etkilerinin azaltılması yönünde alınan tedbirler.
Yukarıda sıralanan hususlara ilişkin kesin bilgilere henüz ulaşılamıyor ise de Kişisel Verileri Koruma Kurumuna gecikmeksizin bildirim yapılmalıdır. Mevcut bilgiler aktarılarak daha ayrıntılı bilgilere ulaşıldığında kuruma bildirileceği hususu belirtilmelidir.
6-İLGİLİ KİŞİLERE BİLDİRİM
Yapılan risk analizi sonucunda veri ihlalinin kişiler üzerinde “yüksek risk” oluşturma ihtimali var ise; şirket ilgili kişilere telefon, e-posta vb. yollar ile gerçekleşen veri ihlalini bildirecektir.
Yapılacak olan bildirim ile, ilgili kişilere veri ihlali açık ve sade bir dille açıklanarak, veri ihlalinin olası sonuçları hakkında bilgi verilecektir. Ayrıca veri ihlalinin olası olumsuz sonuçlarından kendilerini koruyabilmeleri için ilgili kişilere tavsiyelerde bulunacaktır.
Sandalyeci, ihlalden etkilen verilere ilişkin olarak kişiler üzerindeki yüksek riskin ortaya çıkmasını engelleyici uygun tedbirleri uygulamış, ilgili kişilerin hakları ve özgürlüklerine ilişkin yüksek riskin ortaya çıkmasının artık mümkün olmamasını sağlayan ek tedbirler almış ise ilgili kişilere bildirim yapmak durumunda değildir.
Yine yapılacak olan bildirimin ölçüsüz bir çaba gerektirecek olması durumunda şirket ilgili kişilerin aynı etkililikle bilgilendirildiği kamuya yönelik bir bildirim veya benzeri bir tedbir uygulayabilecektir.
7-KOLLUK KUVVETLERİ VE DİĞER KURUM KURULUŞLARINA BİLDİRİM
Söz konusu veri ihlali şirket bünyesinde çalışan veya herhangi bir üçüncü kişinin kusurlu, usulsüz eylemleri nedeniyle meydana gelmiş ve suç niteliği taşıyor ise olay gecikmeksizin kolluk birimlerine iletilecektir.
Gerekli olması halinde finans kuruluşları ve diğer ilgili bakanlık ve kuruluşlara bilgi verilmesi gerekebilecektir.
8-İHLAL SONRASI YAPILACAKLAR
İhlale ilişkin olarak müdahale planı çerçevesinde uygulanan tedbirlerden sonra makul bir süre içerisinde etraflıca bir değerlendirme yapılacak olup, gözden geçirilmesi gereken hususlar tek tek belirlenecektir.
Yapılacak olan tespit ile yaşanan veri ihlalinden ders çıkarılarak, şirketin geliştirmesi ve değiştirmesi gereken noktalar tespit edilecek bu kapsamda alınması gereken tedbirler belirlenecektir.
Belirlenen noktalara ilişkin olarak bir rapor hazırlanacak, hazırlanmış olan rapor doğrultusunda Sandalyeci bünyesinde reaksiyon alınacaktır.
Personele gerekli görülen ve eksikliği tespit edilen konularda eğitim programı hazırlanarak, veri güvenliği konusunda personelin azami dikkat sağlaması sağlanacaktır.
9-MÜDAHALE PLANI VE İLGİLİ MEVZUATIN UYGULANMASI
İşbu Veri İhlal Müdahale Planı Sandalyeci Dayanıklı Tüketim Malları Mobilya Sanayi Ve Ticaret Anonim Şirketi bünyesinde uygulanmak üzere hazırlanmıştır. İş bu metin Veri İhlali Bildirim Prosedürünün eki niteliğindedir ve planın uygulanmasında ve takibinde sorumlu birimler İnsan Kaynakları ve Yönetim Kurulu’dur.