Veri İhlali Müdahale Planı

1. Amaç

İşbu Veri İhlali Müdahale Planının (“Plan”) amacı, ÖZPET Plastik Global San.Tic.A.Ş’nin (“Şirket”), kişisel verilerin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) olmak üzere ilgili kişisel verilerin korunması mevzuatına uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almasına karşın işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde izlenecek yöntem ve sorumlulukların Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 24.01.2019 tarih ve 2019/10 sayılı kararına (“Karar”) uygun şekilde yürütmesini sağlamaktır.

2. 24.01.2019 tarih ve 2019/10 sayılı Karar

İlgili Kararda, özetle;

• Veri sorumlularına, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumun en geç 48 saat içinde Kurula ve ilgili kişilere;

• İlgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan,
• Ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yükümlülüğü getirilmektedir.

• Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 48 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanmasına,

• Kurula yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu’nun (Ek-2) kullanılmasına,
• Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanmasına,
• Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulmasına karar verilmiştir.

• Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirim yükümlülüğü getirilmektedir.
• Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi yükümlülüğü getirilmektedir.

3. İhlal Halinde İzlenecek Yöntem

• İşbu Plan çerçevesinde ilgili departman tarafından ihlalin tespiti ardından, İhlal Yönetim Tablosu’ nda (Ek-1) yer alan görevli departmanlara derhal bildirim yapılır.
• KVKK Komitesi tarafından; ihlalin hangi verilere ilişkin gerçekleştiği, ihlalin boyutu, tespit edilebiliyorsa ihlale uğrayan ilgili kişilerin kim olduğu, mümkünse bu kişilerin iletişim adresleri, ihlalin devam etmesini önleyici tedbirlerin ne olduğu ve aciliyetle uygulanmış olan tedbirleri içerir bir rapor hazırlanır. Söz konusu raporun mümkün olan en kısa sürede hazırlanması esastır.
• İşbu rapor üzerine KVKK Komitesi tarafından Kişisel Veri İhlal Bildirim Formu (Ek-1) ilgili rapor nezdinde doldurularak, ihlalin gerçekleşmesinin ardından 48 saat içerisinde Kurul’a iletilir. Eğer Kurula haklı bir gerekçe ile 48 saat içinde bildirim yapılması mümkün olmuyor ise, mümkün olan en kısa zamanda yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin Kurula aşamalı olarak sağlanır.
• Bu esnada kişisel verisi ihlal edilen kişilerin tespit edilebilmesi mümkün ise ilgili kişilerin iletişim adreslerine bildirim yapılır. Kişiler tespit edilemiyor veya iletişim bilgileri mevcut değilse, Şirket’in internet sitesinden ihlale ilişkin bir bildirim yayınlanır. Son olarak veri ihlalinin olası sonuçları ve risklere ilişkin değerlendirme yapılır. İşbu değerlendirme, Şirket’in bu ihlalden sorumluluk yüzdesi, sorumluluk halinde Kurul’un takdir edebileceği tahmini tazminat miktarı, rücu kabiliyeti gibi Şirket’e bu ihlal doğrultusunda yüklenebilecek sorumluluğun ve varsa kurtuluş kanıtlarının belirlenmesini sağlar.
• Plan çerçevesinde veri ihlallerine ilişkin bilgilere, etkilerine ve alınan önlemlere ilişkin olarak atılan tüm adımlar ve hazırlanan tüm raporlar kayıt altına alınır ve gerektiğinde Kurulun incelemesine hazır halde bulundurulur.

Ek-1 İhlal Yönetim Tablosu