Veri İhlali Bildirim Prosedürü

I. Amaç

a. Bu prosedürün amacı, StarAnaliz Bilişim, Otomasyon, Yazılım Limited Şirketi (“Şirket”) bünyesinde gerçekleşebilecek kişisel veri ihlallerinin tespiti, yönetimi ve ilgili taraflara bildirilmesi süreçlerini düzenlemektir.
b. Kişisel veri ihlallerinin etkilerinin en aza indirilmesi ve yasal yükümlülüklerin tam olarak yerine getirilmesi hedeflenir.

II. Kapsam

a. Şirketin işlediği tüm kişisel verilere yönelik olası ihlaller ve bu ihlallerin raporlanması, değerlendirilmesi, bildirilmesi süreçleri bu prosedür kapsamında ele alınır.

III. Tanımlar

a. Kişisel Veri İhlali: Kişisel verilerin yetkisiz erişim, ifşa, kayıp, değiştirme, yok edilme veya hukuka aykırı işlenmesi durumu.
b. Veri Sorumlusu: Kişisel verilerin işlenme amaç ve yöntemlerini belirleyen, veri güvenliğini sağlayan gerçek veya tüzel kişi.
c. İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
d. Veri Koruma Görevlisi (VKG): KVKK kapsamında veri sorumlusunun kişisel veri işlemlerini izleyen ve denetleyen yetkili kişi.

IV. Veri İhlalinin Tespiti

a. Tüm çalışanlar, iş ortakları ve tedarikçiler, şüphelenilen veri ihlallerini derhal VKG’ye bildirmekle yükümlüdür.
b. Teknik altyapı, güvenlik sistemleri ve log kayıtları düzenli olarak izlenir, olası ihlaller tespit edilir.
c. VKG ihlal şüphesini öğrendiği andan itibaren derhal inceleme başlatır.

V. İhlal Değerlendirme ve Raporlama

a. VKG, ihlalin kapsamını, etkisini ve mağdurlarını belirlemek üzere derinlemesine analiz yapar.
b. İhlalin veri güvenliği üzerinde oluşturduğu risk değerlendirilir.
c. Gerektiğinde bilgi teknolojileri, hukuk ve ilgili diğer birimlerle iş birliği yapılır.

VI. Bildirim Süreci

a. KVKK’ya bildirim:

  1. Veri ihlalinin tespitinden itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na yazılı olarak veya elektronik ortamda bildirim yapılır.

  2. Bildirimde ihlalin türü, kapsamı, alınan/planlanan önlemler ve ihlalin etkileri hakkında bilgi verilir.
    b. İlgili kişilere bildirim:

  3. Eğer ihlal ilgili kişilerin hak ve özgürlüklerini olumsuz etkiliyorsa, VKG tarafından ilgili kişilere de uygun ve anlaşılır şekilde bilgi verilir.

  4. Bildirim, gecikmeksizin yapılmalı, ihlalin türü, sonuçları ve alınan önlemler açıklanmalıdır.

VII. Önleyici ve Düzeltici Faaliyetler

a. İhlal sonrası benzer olayların tekrarını önlemek amacıyla teknik ve idari tedbirler gözden geçirilir ve güncellenir.
b. Personel eğitimleri artırılır ve farkındalık çalışmaları yapılır.
c. Gerektiğinde disiplin işlemleri uygulanır.

VIII. Kayıt ve Dokümantasyon

a. Tüm veri ihlali olayları, inceleme raporları, bildirimler ve yapılan işlemler kayıt altına alınır.
b. Bu kayıtlar, KVKK denetimlerinde sunulmak üzere güvenli biçimde saklanır.

IX. Sorumluluklar

a. VKG, ihlal sürecinin yönetiminden ve bildirimlerin zamanında yapılmasından sorumludur.
b. Tüm çalışanlar veri ihlallerini zamanında ve eksiksiz bildirmekle yükümlüdür.
c. Üst yönetim, gerekli kaynak ve destek sağlamakla yükümlüdür.