1.GİRİŞ
1.1. Amaç
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. Maddesinin 5. fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmüne havi olup, Kanun uyarınca Veri Sorumlusu konumunda olan INBOX İNTERNET HİZ. LTD ŞTİ(“Şirket”), kendi bünyesinde bir Veri İhlali durumu yaşandığında, ihlal durumunun Kişisel Veriler Koruma Kurulu (“Kurul”) ile Veri İlgilisi ‘ne bildirimine dair Şirket içinde izlenmesi gereken prosedürü işbu Kişisel Veri İhlal Bildirim Politikası (“Politika”) ile belirlemeyi amaçlamaktadır.
1.2. Kapsam
Şirket bünyesinde bir Veri İhlali yaşanması durumunda Kanun uyarınca Kurul’a ve Veri İlgilisi ‘ne yapılması gereken bildirimlere ilişkin uygulanacak iş ve işlemler Politika kapsamında olup herhangi bir ihlal halinde bu Politika ’da açıklanan bildirim süreci uygulama alanı bulur.
1.3. Kısaltmalar ve Tanımlar
İş bu politikada aşağıda belirtilen ifadeler aşağıdaki anlamlarda kullanılmaktadır:
· Çalışan: Şirket personelini;
· Form: Kişisel Veriler Koruma Kurulu’nun 24.01.2019 tarihli 2019/10 sayılı kararı ile yayınlanan “kişisel veri ihlali bildirim formu ”nu;
· Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu
· Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;
· Kurul: Kişisel Verileri Koruma Kurulunu;
· Kurum: Kişisel Veriler Koruma Kurumunu;
· Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
· Politika: Kişisel Veri İhlal Bildirim Politikasını;
· Potansiyel Veri İhlali: Çalışanlar tarafından Şirket bünyesinde potansiyel olarak Veri İhlali riski yaratan durumu;
· Veri İhlali: Şirket’in hakimiyet alanında olan Kişisel Verilerin, Şirket içinden veya dışından “hukuka aykırı olarak işlenmesi”, “hukuka aykırı olarak erişilmesi”, “hukuka aykırı olarak elde edilmesi” veya “Kişisel Veriler ’in muhafazasını sağlama, amacıyla Şirket tarafından alınan ve güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin yetkisiz kişilerce aşılması” durumunu;
· Veri İlgilisi: Kişisel verisi işlenen ve Veri İhlali ’ne uğrayan gerçek kişiyi;
· Veri Sorumlusu: INBOX İNTERNET HİZ. LTD ŞTİ Şirketi’ni ifade eder.
2.SORUMLULUK VE GÖREV DAĞILIMLARI
Şirket’in tüm birimleri ve çalışanları, Şirket bünyesinde bir Veri İhlali,Devlet Veri Erişim Talebi veya Potansiyel Veri İhlali olduğunda yapılacak bildirimler açısından işbu Politika ve Şirket’in yetkili birim ve çalışanları tarafından verilecek talimatlara uyarak, yaşanan Veri İhlali, Devlet Veri Erişim Talebi veya Potansiyel Veri İhlali konularında sorumlu birimlere ihlali, derhal içerisinde açıklamak suretiyle yazılı olarak bilgi verir.
Veri İhlali konusunda Şirket nezdinde sorumlu olan birime ;
· Şayet ortada Potansiyel Veri İhlali durumu varsa bu durumun Veri İhlali olup olmadığı hususunda karar verir.
· Eğer ortada bir Veri İhlali durumu varsa, bu durum hakkında Protokol uyarınca Kurul’a ve Veri İlgilisi ‘ne gerekli bildirimi yapar.
· Eğer ortada bir Devlet Veri Erişim Talebi durumu varsa, bu durum hakkında Protokol uyarınca Kurul’a ve Veri İlgilisi ‘ne gerekli bildirimi yapar.
Potansiyel Veri İhlalinin değerlendirilmesi, veri ihlalinin olası sonuçlarının değerlendirilmesi, Devletin Veri Erişim Talebi bulunması ve ihlale ilişkin Şirket nezdindeki sorumluluğun kimde olduğuna dair değerlendirmenin yapılması ve Veri İhlali durumunda Kurul ile Veri İlgilisi ‘ne yapılacak bildirimleri gerçekleştirecek Şirket birim ve Çalışanları ile bu kişilerin görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: INBOX İNTERNET HİZ. LTD ŞTİ Birim Ve Çalışanları
UNVAN | BİRİM | GÖREV | İHLALE İLİŞKİN RAPORLAMA YAPILACAK BİRİM VE ÇALIŞAN |
Tüm Çalışanlar | Tüm Departmanlar | İhlalden şüphe eden tüm Çalışanlar bildirim yapmalıdır. | İDARİ İŞLER MÜDÜRÜ VE YÖNETİM |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | Potansiyel Veri İhlali durumu varsa bu durumun Veri İhlali olup olmadığı hususunda karar verir. | İDARİ İŞLER MÜDÜRÜ VE YÖNETİM |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | Veri İhlali ile ilgili bilgi toplar, etkilenen kişisel veri kategorilerini ve kişi sayısının tespit eder. | İDARİ İŞLER MÜDÜRÜ VE YÖNETİM |
İDARİ İŞLER SORUMLUSU | İDARİ İŞLER | İhlalden etkilenen Veri İlgililerini tespit edilebiliyorsa, İşbu Politikanın 4. maddesinde yer alan usuller çerçevesinde Veri İlgilileri ’ne yapılacak olan bildirimleri hazırlar ve gönderir. | İDARİ İŞLER MÜDÜRÜ VE YÖNETİM |
BİLGİ İŞLEM SORUMLUSU | BİLGİ İŞLEM | İşbu Politikanın 3. maddesinde yer alan usuller çerçevesinde Veri İhlalinin Kurum’a bildirilmesi için bildirim hazırlar. İhlalden etkilenen Veri İlgilileri tespit edilemiyorsa, bu durum Kurum’a yapılacak bildirim içerisinde belirtilmelidir. | İDARİ İŞLER MÜDÜRÜ VE YÖNETİM |
3.VERİ İHLALİ’NİN KURUL’A BİLDİRİLMESİ
Şirket nezdine bir Veri İhlali yaşanması durumunda, ihlale ilişkin Kurul’a yapılacak bildirime dair izlenecek bu maddedeki prosedür, Kurul’un 24.01.2019 tarihli 2019/10 sayılı kararına uygun olarak hazırlanmıştır. Yukarıda belirlenen görev paylaşımı kapsamında, Veri İhlalini, en geç ihlali öğrendikleri tarihten itibaren 72 saat içinde Kurul’a bildireceklerdir.
İhlalin Kurul’a bildirilmesi için yukarıda tayin edilen sürenin yeterli olmaması ve bu durumun haklı bir gerekçeye dayanması halinde, yapılacak geç bildirimde “gecikmenin gerekçesini” de Kurul’a açıklayacaklardır.
Veri İhlali durumunda, Kurul’a yapılacak bildirimde Politikanın ekinde yer alan “Kişisel Veri İhlal Bildirim Formu kullanacaklardır. (Ek 1: Kurul tarafından yayınlanan Kişisel Veri İhlal Bildirim Formu”)
Sorumlu birimin, Forum’da yer alan bilgileri tek seferde sağlayamaması durumunda eksik bilgileri elde eder etmez ve gecikmeye mahal vermeksizin aşamalı olarak Kurul’a bildireceklerdir.
Yaşanan Veri İhlalleri ‘ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.
Veri İhlalini aşağıda yer alan yollardan biriyle Kurul’a bildireceklerdir.
a)E-posta ile bildirim: Bildirimin ilk bildirim olması durumunda, doldurulan Forum’u ”[email protected]” adresine “Kişisel veri ihlali bildirimi” konulu bir e-posta ekiyle göndereceklerdir. Eğer yapılacak bildirim bir takip bildirimi ise, Forum’u ilk bildirimde gönderdikleri e-postanın ekine ekleyeceklerdir.
b)Posta ile bildirim: Formun, posta ile gönderilmesine karar verilirse, “Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi Ziyabey Cad. 1407. Sok. No:4, 06520 Çankaya/Ankara” adresine APS ile göndereceklerdir.
c)Web sayfası üzerinden bildirim: Bildirimin Kurum’un web sayfası üzerinden yapılması istenirse, https://ihlalbildirim.kvkk.gov.tr/ adresli web sayfasından “Bildirim Oluştur” bağlantısına girilmek ve çıkan sayfadaki adımların takip edilmesi suretiyle ve Kurum’un www.kvkk.gov.tr adresli web sayfasında yayınlanan “Kişisel Veri İhlali Bildirim Formu Kılavuzu’na uygun olarak bildirimi yapacakladır.
4.VERİ İHLALİ’NİN VERİ İLGİLİSİNE BİLDİRİLMESİ
Şirket nezdinde bir Veri İhlali yaşanması durumunda, ihlale ilişkin Veri İlgilisi ‘ne yapılacak bildirime dair izlenecek bu maddedeki prosedür Kurul’un 24.01.2019 tarihli 2019/10 sayılı kararına ve Kurul’un 18.09.2019 tarihli 2019/271s. kararına uygun olarak hazırlanmıştır. Herhangi bir ihlal olduğu zaman, Politikanın “2. Sorumluluk ve Görev Dağılımları” başlıklı maddesinde açıklanan birim ve Çalışanlar aşağıdaki kurallar çerçevesinde ihlal bildirimini yapacaktır:
Veri sorumlusu, veri ihlalini aşağıda açıklanan şekilde Veri İlgilisi ‘ne bildirecektir ;
Hizmetler bağlamında işlenen kişisel verilerle ilgili olarak ;
· Herhangi bir veri ihlali tespit edildiğinde,
· Bireylerden veri koruma haklarını kullanma talepleri,
· MasterCard’ın müşterilerinden, tüketicilerinden, çalışanlarından veya diğer herhangi bir kişiden gelen herhangi bir talep veya şikayet,
· Kamu kurumlarından gelen herhangi bir soru, şikayet, soruşturma veya diğer soruşturmalar;
· Tedarikçi tarafından İşlenen Kişisel Verilerin ifşa edilmesini veya bunlarla ilgili bilgi talep eden herhangi bir yargı yetkisine sahip herhangi bir kamu makamı.
Veri Sorumlusu (INBOX İNTERNET HİZ. LTD ŞTİ) Veri İhlalini, Veri İlgililerinin belirlenmesini müteakip bu tür taleplerin ya da direk bildirimlerin bir kopyasını 48 saat içerisinde veya Gizlilik ve Veri Koruma Yasası tarafından gerekliyse daha kısa bir e-posta yoluyla ; [email protected] / [email protected] adreslerine bildirecektir, ve bu tür taleplere yalnızca MasterCard’ın önceden yazılı iznine (“Bildirim Yükümlülükleri”) uygun olarak yanıt verecektir.
Veri İlgilisi ’ne yapılacak bildirimde asgari olarak aşağıda yer alan içeriğe yer vereceklerdir:
· İhlalinin ne zaman gerçekleştiği,
· Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
· Kişisel veri ihlalinin olası sonuçları,
· Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
· Veri İlgililerinin Veri İhlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da Şirket’in web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları
Yaşanan Veri İhlalleri ’ne ilişkin bilgileri, ihlalin etkilerini ve ihlale karşı alınan önlemleri kayıt altına alacak ve Kurul’un incelemesine hazır halde bulunduracaklardır.
5.POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, useinbox.com adresli web sayfasında kamuya açıklanır. Basılı kağıt nüshası da Şirketin İdari işler departmanında muhafaza edilen ilgili dosyasında saklanır.
6.POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. İstenildiği zaman Politikanın en güncel haline useinbox.comadresli web sayfasından ulaşılabilir.
7.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirket’in web sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
