MEDİA FLY TECH HAVACILIK VE SAVUNMA LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN
VERİ İHLALİ MÜDAHALE PLANI
- Amaç
İşbu Kişisel Verilerin Korunmasına İlişkin Veri İhlali Müdahale Planının (“Plan”) amacı, veri sorumlusu MEDİA FLY TECH HAVACILIK VE SAVUNMA LİMİTED ŞİRKETİ (Bundan sonra “MEDİA FLY TECH HAVACILIK” ve/veya “Şirket” olarak anılacaktır), kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili kişisel verilerin korunması mevzuatına uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almasına karşın işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde izlenecek yöntem ve sorumlulukların Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 24.01.2019 tarih ve 2019/10 sayılı kararına (“Karar”) uygun şekilde yürütmesini sağlamaktır.
- 01.2019 tarih ve 2019/10 sayılı Karar
İlgili Kararda, özetle;
- Veri sorumlularına, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumun en geç 72 saat içinde Kurula ve ilgili kişilere;
- İlgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan,
- Ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yükümlülüğü getirilmektedir.
- Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,
- Kurula yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu’nun (Ek-2) kullanılmasına,
- Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
- Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına karar verilmiştir.
- Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi yükümlülüğü getirilmektedir.
- İhlal Halinde İzlenecek Yöntem
- İşbu Plan çerçevesinde ilgili departmanda yer alan görevli departmanlara derhal bildirim yapılır.
- KVKK Komitesi tarafından; ihlalin hangi verilere ilişkin gerçekleştiği, ihlalin boyutu, tespit edilebiliyorsa ihlale uğrayan ilgili kişilerin kim olduğu, mümkünse bu kişilerin iletişim adresleri, ihlalin devam etmesini önleyici tedbirlerin ne olduğu ve aciliyetle uygulanmış olan tedbirleri içerir bir rapor hazırlanır. Söz konusu raporun mümkün olan en kısa sürede hazırlanması esastır.
- İşbu rapor üzerine KVKK Komitesi tarafından Kişisel Veri İhlal Bildirim Formu doldurularak ihlalin gerçekleşmesinin ardından 72 saat içerisinde Kurul’a iletilir. Eğer Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılması mümkün olmuyor ise, mümkün olan en kısa zamanda yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin Kurul’a aşamalı olarak sağlanır.
- Bu esnada kişisel verisi ihlal edilen kişilerin tespit edilebilmesi mümkün ise ilgili kişilerin iletişim adreslerine bildirim yapılır. Kişiler tespit edilemiyor veya iletişim bilgileri mevcut değilse, Şirket’in internet sitesinden ihlale ilişkin bir bildirim yayınlanır. Son olarak veri ihlalinin olası sonuçları ve risklere ilişkin değerlendirme yapılır. İşbu değerlendirme, Şirket’in bu ihlalden sorumluluk yüzdesi, sorumluluk halinde Kurul’un takdir edebileceği tahmini tazminat miktarı, rücu kabiliyeti gibi Şirket’e bu ihlal doğrultusunda yüklenebilecek sorumluluğun ve varsa kurtuluş kanıtlarının belirlenmesini sağlar.
- Plan çerçevesinde veri ihlallerine ilişkin bilgilere, etkilerine ve alınan önlemlere ilişkin olarak atılan tüm adımlar ve hazırlanan tüm raporlar kayıt altına alınır ve gerektiğinde Kurulun incelemesine hazır halde bulundurulur.
(Ek-1) İhlal Yönetim Tablosu:
İlgili Departman | Görevleri |
[…………………] |
1. İhlalin tespiti
2. Alınması gerekli acil önlemlerin alınması 3. İhlalin KVKK Komitesi bildirimi 4. KVKK Komitesi ile, ihlalin hangi veriler hakkında gerçekleştiği, ihlalin boyutu, tespit edilebiliyorsa ihlale uğrayan ilgili kişilerin kim olduğu, mümkünse bu kişilerin iletişim adresleri, ihlalin devam etmesini önleyici tedbirlerin ne olduğu ve aciliyetle uygulanmış olan tedbirleri içerir bir rapor hazırlanması |
KVKK Komitesi | IT departmanından alınan bildirim üzerine rapor hazırlanması |
[…………..] | 1. İlgili rapor üzerine Kişisel Veri İhlal Bildirim Formu’nun (Ek-2) doldurulması ve Kurul’a bildirim yapılması
2. Veri ihlalinin olası sonuçlarının değerlendirilmesi 3. Risk değerlendirmesinin yapılması |
KVKK Komitesi | İlgili kişilere ulaşım sağlanması, sağlanamaması halinde internet sitesinden bildirim yapılması |