TRCISALPINA TURİZM ANONİM ŞİRKETİ VERİ İHLALİ MÜDAHALE POLİTİKASI
CISALPINA TURİZM ANONİM ŞİRKETİAdres: Umurbey Mahallesi 1522 Sokak No:1 Konak / İzmir
Telefon: 0232 488 62 00
İÇİNDEKİLER
1.AMAÇ2.KAPSAM
3.TANIMLAR VE KISALTMALAR
4. SORUMLULUKLAR
5. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
6. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI
7.POLİTİKANIN YÜRÜRLÜĞÜ, GÜNCELLENMESİ VE YÜRÜRLÜKTEN KALDIRILMASI
8. YÜRÜTME
9. DAĞITIM
1. AMAÇ
6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.Veri İhlali Müdahale Politikası (“Politika”), CISALPINA TURİZM ANONİM ŞİRKETİ (“Şirket”) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket tarafından benimsenecek ve uygulamada dikkate alınacak faaliyetleri belirlemek amacıyla hazırlanmıştır.
2. KAPSAM
Şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirket’in sahip olduğu ya da Şirketimizce yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.3.TANIMLAR VE KISALTMALAR
Şirket Veri İhlali Müdehale Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:İLGİLİ KİŞİ: |
|
|
Kimliği belirli ve belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örn: ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası, banka hesap numarası vb. |
|
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya |
|
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten gerçek veya tüzel kişiyi ifade eder. |
|
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
|
Kişisel Verileri Koruma Kurumu. |
|
Kişisel Verileri Koruma Kurulu. |
|
|
4. SORUMLULUKLAR
Şirket Politikanın tüm şirkette işleyiş, faaliyet ve süreçlerinde ve uygulanmasında, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde Şirket genelinde tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler iş birliği yapmakla yükümlüdür. Şirket’in tüm organ ve departmanları Şirket Veri İhlali Müdehale Politikasının uygulanmasından sorumludur.
5. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
KVKK’nın 12. Maddesinde, İşlenen kişisel verilerin kanuna uygun olmayan yollarla başkaları tarafından elde edilmesi, tahrip edilmesi, bozulması, manipüle edilmesi ve erişiminin engellenmesi hâlinde, veri sorumlusu tarafından alınması gereken önlemler tanımlanmıştır.
Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından tarafından elde edilmesi, tahrip edilmesi, bozulması, manipüle edilmesi ve erişiminin engellenmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Buna göre, İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından tarafından elde edilmesi, tahrip edilmesi, bozulması, manipüle edilmesi ve erişiminin engellenmesi hâlinde, Şirket söz konusu veri ihlalini, tespit edilmesinden itabaren en kısasürede (en geç 72 saat) Kurul’a ve söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip makul olan en kısa süre içerisinde ilgili kişiye bildirmelidir.
İlgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirketin kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmalıdır.
Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
- İhlalinin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerekir.
Kurula yapılacak bildirimde yine Kurul’un belirlediği ve web sitesinde yayınladığı KVK Kurulu Veri İlhal Bildirim Formu doldurularak Kurula iletilir.
Şirket tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir.
Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanmalıdır.
Şirket tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması sağlanmalıdır.
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyen bu konuda herhangi bir gecikmeye yer vermeksizin Şirket’e bildirimde bulunmalıdır.
Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu plan gözden geçirilmelidir.
6. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI
Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.Politika, Şirket’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları
Kurul Kararı tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Veri Yönetimi Birimi tarafından saklanır.
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
7. POLİTİKANIN YÜRÜRLÜĞÜ, GÜNCELLENMESİ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirket’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.
Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları
Kurul Kararı tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Veri Yönetimi Birimi tarafından saklanır.
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.