Harley-Davidson® West Büyükdere Cad. No:171 MetroCity AVM Levent, 34394 Şişli / İstanbul
Harita & Saatler 4442380
4442380

Veri İhlali Bildirim Prosedürü

 

 

 

 

DENİZ MOTORLU ARAÇLAR YATIRIM ANONİM ŞİRKETİ

 

VERİ GÜVENLİĞİ İHLALİ BİLDİRİM PROSEDÜRÜ

 

 

 

 

 

 

Hazırlayan:

Deniz Motorlu Araçlar Yatırım Anonim Şirketi.

Versiyon:

.1

Yürürlük Tarihi:

02.10.2023

 

 

İÇİNDEKİLER

1.     GİRİŞ.. 3

1.1.      Amaç ve Kapsam.. 3

2.     OLAY BİLDİRİMİNİN YAPILMASI 3

2.1.      Hangi Durumlarda Bildirim Yapılmalıdır?. 3

2.2.      Şirket İçi Bildirimin Usul ve Esasları 4

2.3.      Şirket İçi Bildirimden Sonra Atılacak Adımlar. 4

3.     POLİTİKA YÖNETİMİ 6

4.     EKLER.. 6

 


 

 

  1. GİRİŞ
    1. Amaç ve Kapsam

Veri Güvenliği İhlali Bildirim Prosedürü (“Prosedür”), Deniz Motorlu Araçlar Yatırım Anonim Şirketi’nin (“Şirket”) faaliyetleri sırasında karşılaşabileceği veri güvenliği ihlali olaylarının başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı (“KVK Mevzuatı”) olmak üzere ilgili tüm yasalara uygun olarak ele alınmasını ve çözümünü gerçekleştirmeyi amaçlamaktadır. 

İşbu Politika, Şirket’in tüm yetkilileri ve çalışanları için geçerlidir. İşbu Politika, Şirket bünyesinde meydana gelebilecek herhangi bir veri güvenliği ihlali olayında (“Olay”) uygulanacaktır. 

  1. OLAY BİLDİRİMİNİN YAPILMASI

KVK mevzuatı uyarınca herhangi bir Olay’ın en geç, Olay’ın tespit edildiği andan itibaren 72 (yetmiş iki) saat içerisinde Kişisel Verileri Koruma Kurulu’na (“Kurul”) Şirket tarafından bildirilmesi gerekmektedir. Bildirimde gecikmeler yaşanması durumunda Kurul nezdinde Şirket’in sorumluluğu doğabileceğinden işbu Politika’da yer alan usul ve esaslara uyulması önem arz etmektedir. 

  1. Hangi Durumlarda Bildirim Yapılmalıdır? 

Olay, kişisel verilerin yetkisiz 3. kişilerin eline geçme ihtimalinin oluşmasıdır. Bu sebeple, böyle bir ihtimalin olduğu her durum bir veri güvenliği ihlali olarak kabul edilmeli ve aşağıda, 2.2 maddesinde açıklandığı şekilde Şirket’e bildirilmelidir. Bir olayın gerçekten kişisel verilere erişim riski oluşturup oluşturmadığı konusunda değerlendirme, bildirim sonrasında Heval Öztemir ve Onur Sarı’dan oluşan Kişisel Verilerin Korunmasına İlişkin Gözetim Komitesi (“Komite”) tarafından yapılacaktır. Bu sebeple en ufak bir ihtimal dahi olsa söz konusu bildirimin yapılması gerekmektedir.

Veri Güvenliği İhlali Olayı’na örnek olarak aşağıdakiler verilebilir;

  1. Verilerin depolandığı ekipmanın kazara kaybı, belirli bir süre denetimsiz ve erişilebilir bırakılması veya çalınması (basılı evrak, sd kart, usb, akıllı telefon vb. ekipmanlar)
  2. Veri veya bilgi sistemlerine yetkisiz erişim (yetkisiz erişim elde etmek veya veri veya bilgi sistemlerinde yetkisiz değişiklik yapmak için kasıtlı veya yanlışlıkla kullanıcı oturum bilgilerini paylaşma)
  3. Hassas veya gizli bilgilerin yetkisiz olarak ifşa edilmesi (örneğin yanlış bir alıcıya veya yanlış bir adrese veya alıcıya gönderilen e-postalar)
  4. Giriş bilgileri ifşa olmuş kullanıcı hesapları (örneğin yanlışlıkla kimlik avı yoluyla kullanıcı girişi bilgilerini ifşa etme)
  5. Şirket bilgilerine veya bilgi sistemlerine yetkisiz erişim elde etmek için başarılı veya başarısız girişimler
  6. Ekipman arızası,
  7. Malware vb zararlı yazılımlara rastlanması 
    1. Şirket İçi Bildirimin Usul ve Esasları

Herhangi bir Şirket çalışanının, veri güvenliğinin ihlal edildiğini düşündüğü bir Olay ile karşılaşması halinde ilgili çalışan, bu Olay’ı, işbu Politika’nın Ek-1’inde yer alan Olay Bildirim Formu ile, Olay’ın öğrenildiği andan itibaren en geç 12 saat içerisinde Komite’ye bildirmekle yükümlüdür. Ek-1’de yer alan tüm alanların doldurulamaması durumunda dahi bir Olay meydana geldiği bilgisinin Komite’ye bildirilmesi gerekmektedir. Geç bildirim nedeniyle Şirket’in uğrayabileceği herhangi bir zarardan dolayı ilgili çalışanın sorumluluğu bulunacaktır. 

ÖNEMLİ ! Olay bildiriminin öğrenildiği andan itibaren en geç 12 saat içerisinde bildirilmediği durumlarda, Şirket Kurul’a Olay bildirimini süresinde yapamayacak ve Şirket’in neden olduğu zararı önlemek için gerekli önlemleri almakta gecikecektir. Bu tarz olumsuz durumlarla karşılaşmamak adına işbu Politika’da yer alan açıklamalara dikkatle uyulmalıdır.

  1. Şirket İçi Bildirimden Sonra Atılacak Adımlar

İlgili çalışan tarafından bildirim yapıldıktan sonra Komite tarafından Olay’dan etkilenen herhangi bir kişisel veri kategorisi ya da veri sahibi olup olmadığının değerlendirilmesi yapılmalıdır. Kişisel verilerin Olay’dan etkilendiğinin tespit edilmesi halinde Komite tarafından; 

  1. Olay’ın, öğrenildiği andan itibaren 72 (yetmiş iki) saat içerisinde Kurul’a bildirimin yapılması için gerekli Şirket içi organizasyon sağlanmalıdır. 
  2. Kişisel verileri etkilenmiş olabilecek veri sahipleri tespit edilmelidir. 
  3. Tespit edilen veri sahiplerine Olay’a ilişkin kısa bir bilgilendirme yapılmalıdır.
  4. Olay’ın yarattığı zararın artmaması için atılması gereken adımlar tespit edilerek ilgili önlemler alınmalı ve Şirket içerisinde bu husus duyurulmalıdır. 
  5. İhlali ortadan kaldırabilmek adına gerekli teknik aksiyonlar alınmalı, gerekli olması halinde üçüncü taraf teknik hizmet sağlayıcıları ile çalışılmalıdır. 
  6. Ek-2’de yer verilmiş olan ve Kurul tarafından Olay bildirimleri için kullanılması zorunlu kılınmış olan form doldurulmalıdır. Formdaki tüm bilgilerin derhal sağlanamaması durumunda, elde edilen veriler ile form doldurulmalı, Kurul’a yapılacak bilgilendirmede bu husus da belirtilmelidir. 
    1. Bildirim formu, konu kısmına “Kişisel Veri İhlali Bildirimi” ibaresi yazılarak Kurul’un ihlalbildirimi@kvkk.gov.tr adresine iletilmeli ya da posta yoluyla “Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi 1407. Sok. No:4, 06520 Balgat – Çankaya, Ankara” adresine gönderilmelidir. 
    2. Olay’a ilişkin açıklamaları içeren destekleyici dokümanlar (inceleme raporu, ilgili kişilere yapılan bildirimi gösteren belgeler vb.) da bildirim ile birlikte Kurul’a iletilmelidir. 
    3. Kurul’a yapılacak ilk bildirimden sonra, ilk bildirimde tüm bilgilerin Kurul’a sunulamadığı ya da Olay’a ilişkin ek bilgilerin elde edildiği durumlarda bu bilgiler de Kurul’a yapılacak bir takip bildirimi ile Kurul ile paylaşılmalıdır. 
  7. Bildirimin 72 (yetmiş iki) saat içerisinde yapılamayacak olması halinde, geç bildirim yapılacaksa, Kurul’a gecikmenin nedenleri bildirimde iletilmelidir. 
  8. Olay’a ilişkin gerçekleştirilen tüm işlemlerin kayıtları, Kurul tarafından talep edildiğinde sunulabilmesi için saklanmalıdır. 
  9. Şirket bünyesinde veri güvenliği ihlali olaylarının doğuracağı zararların giderilmesine ilişkin olarak bir sigorta yaptırılmış olması halinde, ihlal öğrenildikten sonra vakit kaybetmeksizin ilgili sigorta şirketine bildirilmelidir.
  10. İhlal bildirim sürecinin hukuka uygun olarak yürütülebilmesi adına Şirket’in uzman hukuk müşaviri bilgilendirilmeli ve gerekli olması halinde konuya ilişkin olarak hukuki destek alınmalıdır. 

ÖNEMLİ ! İşbu maddede sayılan adımların atılmasında ilgili koordinasyonun ve iş birliğinin sağlanması tüm çalışanların ortak yükümlülüğüdür.

  1. POLİTİKA YÖNETİMİ

Bu Politika Şirket Kişisel Verilerin Korunmasına İlişkin Gözetim Komitesi tarafından yönetilecektir. Politika, periyodik olarak gözden geçirilecek ve gerekli olduğunda uygun şekilde revize edilecektir.

  1. EKLER
  2. EK 1 – Olay Bildirim Formu (Şirket İçi Kullanım)
  3. EK 2 – Kişisel Veri İhlali Bildirim Formu (Kurul’a Yapılacak Bildirimler)

 

 

 

EK – 1 OLAY BİLDİRİM FORMU* 

*Şirket içi bildirimlerde kullanılacaktır.

Olayı bildiren Şirket çalışanının;

Adı

:

Soyadı

:

Departmanı

:

İmza

:

Olay İle İlgili Bilgiler 

Olay Tarihi – Saati

:

Bildirim Tarihi

:

Olayın Tespit Edildiği Tarih ve Saat

:

Olayın Nedeni/ Kaynağı (Gerekli olması halinde birden fazla seçeneği işaretleyiniz.)

 

:  

󠄒 Kişisel verilerin yanlış alıcılara gönderilmesi (yanlış kişiye       e-posta gönderimi vb.)

󠄒 Belge/ cihaz hırsızlığı veya kaybolması

󠄒 Verilerin güvensiz ortamlarda depolanması

󠄒 Zararlı yazılımlar

󠄒 Sosyal mühendislik 

󠄒 Sabotaj 

󠄒 Servis Dışı Bırakma Saldırısı

󠄒 Bilgi Sızdırma 

󠄒 Kimlik Taklidi

󠄒 Veri tabanı Saldırısı (Sql Injection)

󠄒 Oltalama (Phishing)

󠄒 Veri İfşası

󠄒 Parolaların Yetkisiz Olarak Ele Geçirilmesi 

󠄒 Hesaba İzinsiz Erişim Şüphesi

󠄒 Diğer (Lütfen Belirtiniz) __________________________

İhlalden Etkilenen Kişisel Veri Kategorileri (Gerekli olması halinde birden fazla seçeneği işaretleyiniz.)

:

Kişisel Veri

Özel Nitelikli Kişisel Veri

󠄒 Kimlik

󠄒 İletişim

󠄒 Lokasyon

󠄒 Özlük

󠄒 Hukuki İşlem

󠄒 Diğer (aşağıda yazı ile belirtiniz)

 

 

󠄒 Irk ve Etnik Köken

󠄒 Siyasi Düşünce

󠄒 Felsefi İnanç, Din, Mezhep ve Diğer İnançlar

󠄒 Kılık ve Kıyafet

󠄒 Dernek Üyeliği

󠄒 Vakıf Üyeliği

󠄒 Sendika Üyeliği

󠄒 Sağlık Bilgileri

󠄒Cinsel Hayat

󠄒 Ceza Mahkumiyeti ve Güvenlik Tedbirleri 

󠄒 Biyometrik Veri

󠄒 Genetik Veri

󠄒 Diğer (Lütfen belirtiniz)

 

________________________________________________

 

Olaydan etkilenen sistemler (Bilinmekteyse belirtiniz)

Olaydan etkilenen veri sahibi grubu (Veli, çalışan, tedarikçi vb.)

:

Olayın Açıklaması

:

 

 

 

Olayın Etkilerini Azaltmak İçin Alınan Tedbirler (Böyle bir tedbir alındıysa belirtiniz) 

:

Tedbirlerin Uygulanmasında Görev Alan Şirket Çalışanlarının ve/veya Birimlerinin Bilgileri (İsim – Soyisim – İmza)

:

 

Adı: 

Soyadı: 

İmza: 

 

EK–2: KİŞİSEL VERİ İHLALİ BİLDİRİM FORMU (KURUL’A YAPILACAK BİLDİRİMLERDE KULLANILACAKTIR)

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/e0413853-cd8c-428f-9315-2e8b3d874b46.pdf linkine tıklayarak ilgili forma ulaşabilirsiniz.

 

We use cookies on our Website to provide you with the most convenient experience. If you continue to use our website, you accept our cookie policy.

OK