KİŞİSEL VERİ İHLALİ MÜDAHALE PLANI

VIRA OSGB İŞçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. ŞTi.

Amaç

6698 Sayılı Kışisel Verilerin Korunması Kanunu’nun (Kanun) 12. Maddesinin 5. Fıkrasına göre Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. ŞTi., işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgilisine ve Kışisel Verileri Koruma Kurulu’na (Kurul) bildirmekle yükümldür.

Bu Kışisel Veri İhlali Müdahale Planı (Plan), kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde oluşacak krize nasıl müdahale edileceği ve atılacak adımların neler olduğu konusunda çalışanları bilgilendirmek amacıyla hazırlanmıştır.

Sorumluluk

Planın uygulanmasından tüm çalışanlar sorumludur.

Kışisel Veri İhlali

Kışisel veri ihlali, kişisel verilerin kanuna aykırı şekilde elde edilmesi, hukuka aykırı şekilde kişisel verilere yetkisiz erişim sağlanması, kişisel verilerin yanlışlıkla/kasten yetkisiz kişilere açıklanması, kişisel verilerin hukuka aykırı bir şekilde silinmesi, değiştirilmesi veya bütünlüğünün bozulması gibi durumlarda ortaya çıkmaktadır.

Kriz Müdahale Ekibi

Kışisel veri ihlali durumunda oluşan veya oluşabilecek kriz durumuna müdahale etmek ve Kanun kapsamında öngörülen yükümlülükleri yerine getirmek için irtibat kişisine bildirim yapılır. Bu bildirimin ardından irtibat kişisi tarafından “acil” koduyla KVKK Komisyonu toplantıya çağrılır. Toplantıya KVKK Komisyon üyelerinin yanı sıra veri ihlalinin meydana geldiği birimin yöneticisi de katılır.

Kriz Müdahale Süreci

Kışisel Veri İhlali Bildirim Usul ve Esaslarına ilişkin Kışisel Verileri Koruma Kurulu’nun 24.01.2019 tarih ve 2019/10 sayılı Kararı uyarınca, Vira OSGB İşçi Sağlığı ve İş Güvenliği Hizmetleri Eğitim Danışmanlık Ticaret Ltd. ŞTi.’nin kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirmesi ve veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirim yapması gerekmektedir.

Süz konusu yükümlülüklerin yerine getirilebilmesi için bir veri ihlali durumunda şu adımlar takip edilmelidir:

• Krize ilişkin ön değerlendirme
• Engelleme ve kurtarma çalışmalarının yürütülmesi
• Risklerin değerlendirilmesi
• Bildirim süreci
• İyileştirme çalışmaları

Bildirim

Veri ihlalinin gerek hukuki yükümlülük kapsamında gerekse veri ihlaline ilişkin tedbir alınması, ihlalin olası etkilerinin azaltılması gibi amaçlarla Vira OSGB dışında üçüncü kişilere bildirilmesi gerekmektedir.

• Kurul’a Bildirim: Veri Sorumlusu İrtibat Kişisi, ihlal tespit edildikten sonra en geç 72 saat içinde Kurul’a bildirim yapar.
• Etkilenen Kişilere Bildirim: Etkilenen kişilere makul en kısa sürede bildirim yapılır.

Değerlendirme ve İyileştirme

Vira OSGB tarafından kişisel veri ihlallerine ilişkin tüm bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul’un incelemesine hazır halde bulundurulması gerekmektedir. KVKK Komisyonu tarafından bir değerlendirme yapılır ve gerekli iyileştirme çalışmaları gerçekleştirilir.

Güncelleme

Bu Plan, kurumsal ya da yasal kaynaklı değişiklik gereksinimlerine bakılmaksızın yılda bir kez gözden geçirilerek kayıt altına alınır. Mevzuatta meydana gelen değişiklikler derhal uygulanacaktır.