Güvenli Ve Güncel

Cronoc Yazılım olarak sizlere en iyi hizmeti sunmaktan onur duyarız.

Demo Talebinde Bulun

VERİ İHLALİ BİLDİRİMLERİ

Veri İhlali Bildirimi Nasıl Yapılır?

Kişisel Verileri Koruma Kurumunun internet sayfası olan www.kvkk.gov.tr adresine giriş yapıldıktan sonra Anasayfa’da sağ taraftaki menüler içerisinde yer alan Kişisel Veri İhlal Bildirimi ikonuna tıklanarak kişisel veri ihlal bildirimi alanına giriş yapılır.

Giriş yapılan sayfada “KİŞİSEL VERİ İHLALİ BİLDİRİM USUL VE ESASLARINA İLİŞKİN KİŞİSEL VERİLERİ KORUMA KURULUNUN 24.01.2019 TARİH VE 2019/10 SAYILI KARARINA İLİŞKİN DUYURU” yer almaktadır. Söz konusu duyuru sayfasının altında yer alan Kişisel Veri İhlal Bildirim Formuna (İnternet) tıklanarak bildirim sayfasına geçilebilmektedir. Form el ile doldurulmak isteniyorsa Kişisel Veri İhlal Bildirim Formuna (PDF) tıklanır.

Açılan ihlal bildirimi ana sayfasında, ihlal bildirimi oluşturmak, Kuruma göndermek için “Bildirim Oluştur” ve ihlal bildirimi sorgulamak ve güncellemek için “Bildirim Sorgula/Bildirim Güncelle” olmak üzere iki bölüm bulunmaktadır.

Bu bölümdeki alanların tamamının doldurulması zorunlu olup eksiksiz ve doğru bir şekilde doldurulduktan sonra “Kaydet” butonu tıklanarak kaydedilmesi gerekir.
“Veri Sorumlusunun Unvanı/İsmi” ve “Veri Sorumlusunun Adresi” alanlarına veri ihlalinin gerçekleştiği gerçek veya tüzel kişiliğin adı ve adresi yazılır.
“Veri Sorumlusu adına bu bildirimi hazırlayan kişi” başlığı altındaki alanlar doldurulurken veri sorumlusu nezdinde çalışan yetkilendirilmiş bir personel tarafından veri ihlal bildirimi yapılıyor ise ilgili alanlar eksiksiz ve doğru bir şekilde doldurulur. Ancak, veri sorumlusu adına bir avukat, danışman vb. tarafından yapılan bir veri ihlal bildirimi ise alanların doldurulmasının yanı sıra tevsik edici sözleşme veya vekaletname gibi belgeler “Ekler” bölümüne eklenmelidir.

Şekildeki alanlar doldurulup kaydedildikten sonra, tekil şekilde oluşturulan bir güvenlik kodu (takip numarası) ekrana gelecektir. Ekrana gelen bu kod tarafınızca kaydedilmelidir. Bu kod sonraki aşamalarda bildirimin sorgulanması ve güncellenmesi açısından son derece önemlidir. Bu kodun kaybedilmesi durumunda [email protected] adresine e-posta gönderip güvenlik kodunu sorgulayabilirsiniz.

İhlal Hakkında;
Bu bölümde “Bildirim Türü” alanına veri ihlali ile ilgili ilk kez bildirim yapılacaksa “İlk Bildirim” kutucuğu işaretlenir.
İhlalin başlama tarihi, veri sorumlusu tarafından yapılan incelemeler sonucunda veri ihlalinin başladığı tarihi ifade eder.
İhlalin sona erme tarihi, veri sorumlusu tarafından yapılan incelemeler sonucunda veri ihlalinin sona erdiği tarihi ifade eder.
İhlalin tespit tarihi ise, veri sorumlusunun ihlalden ilk haberdar olduğu tarihi ifade eder.

Alanlardan zorunlu seçeneği olanlar doldurulup bu bölümün diğer sorularıyla devam edilir.

Veri ihlalinin, veri işleyen nezdinde gerçekleşmesi ve veri sorumlusuna bildirilmesi durumunda, alanlar eksiksiz doldurulur. Veri ihlali, veri işleyen nezdinde gerçekleşmemişse bu alanın doldurulmasına gerek yoktur. Veri işleyenin tespit tarihi, veri işleyen nezdinde gerçekleşen veri ihlalinin başladığı tarihi ifade eder.
Veri işleyenin veri sorumlusuna bildirdiği tarih, veri sorumlusunun veri ihlalinden haberdar olma tarihini ifade eder.
Veri sorumlusunun veri işleyen tarafından nasıl haberdar edildiğine dair belgeleri (yazı, e- posta vb.) Ekler bölümüne eklemesi gerekmektedir.

Veri ihlalinin kaynağı, kutucuklardan işaretlenecek olup, aynı anda birden fazla seçenek de işaretlenebilir. Bununla birlikte veri ihlalinin nasıl gerçekleştiği hakkında verilecek bilgiler “Cevabınızı detaylı bir şekilde açıklayınız.” alanına yazılır. İhlalin kaynağı,mevcut seçeneklerden biri değilse “Diğer” kutucuğu işaretlenip ihlalin kaynağı ve nasıl gerçekleştiği ile ilgili bilgiler “Cevabınızı detaylı bir şekilde açıklayınız.” alanına yazılır. Örneğin; veri ihlali Siber Saldırı yöntemlerinden zararlı yazılım yüklenmesi ile gerçekleşmiş ise bu zararlı yazılımın ne olduğu, nasıl bulaştığı, hangi sistemleri etkilediği gibi detaylara yer verilerek “Cevabınızı detaylı bir şekilde açıklayınız.” alanına yazılır.

Veri ihlalinin etkisi görülen kutucukların işaretlenmesi ile belirtilir. Bu bölümde işaretlenecek olan;

Veri Gizliliği: Verinin yetkisiz kişilerce ele geçirilmesinin engellenmesidir.
Veri Bütünlüğü: Verinin olması gerektiği şekilde tutulması ve korunmasıdır.
Veriye Erişim: Verinin her an ulaşılabilir ve kullanılabilir olmasıdır.

Aynı anda birden fazla seçenek işaretlenebilir ve veri ihlalinin etkisi Şekil 3.6’da bulunan “Cevabınızı detaylı bir şekilde açıklayınız.” alanına yazılmalıdır

Veri ihlalinin nasıl ve kim tarafından tespit edildiği detaylı bir şekilde yazılacak olup varsa ihlal ile ilgili tevsik edici belgeler (yazılı metin, e-posta, fotoğraf vb.) “Ekler” bölümüne eklenir. Örneğin, veri sorumlusu fidye yazılımının sistemlerine yüklenmesine maruz kalıp saldırganlardan e-posta aldı ise bu tespit şekil 3.7’deki ilgili alana yazılır.

Veri ihlalinden etkilenen kişisel veri kategorileri, kutucuklardan işaretlenecek olup, birden çok veri kategorisi olması halinde ilgili seçenekler birlikte işaretlenir. Veri ihlalinden etkilenen kişisel veri kategorileri içerisinde uygun seçenek bulunmadığı takdirde “Diğer” seçeneği işaretlenir. Aynı zamanda veri ihlalinden etkilenen özel nitelikli kişisel veriler varsa bu alandaki kutucuklar da aynı şekilde işaretlenir. Ayrıca ihlalden etkilenen kişisel veriler Şekil 3.8’deki Cevabınızı detaylı bir şekilde açıklayınız.” alanına detaylı bir şekilde yazılır.
Örneğin, Kimlik verileri içerisinde ad-soyad, vatandaşlık numaraları, pasaport numaraları gibi; İletişim verileri içerisinde telefon numaraları, e-posta adresi gibi kişiyi ilgilendiren veriler yer almakta olup, bunlar “Cevabınızı detaylı bir şekilde açıklayınız.” alanına yazılır.

Fotoğrafta bulunan alan geç bildirimde bulunan veri sorumluları tarafından doldurulur. İhlalin tespitinden ihlalin Kurula bildirimine kadar geçen süre 72 saati aşmış ise bunun nedenleri bu alana girilmelidir.

İlgili kişilere ihlal bildirimi yapılıp yapılmadığına dair seçenekler işaretlenir. Eğer “Evet, ilgili kişilere bildirim yapıldı” veya “İlgili kişilere halihazırda bildirim yapılmaktadır.” kutucukları işaretlenmiş ise bildirime ilişkin tevsik edici belgeler “Ekler” bölümüne eklenmelidir. “Diğer” seçeneği seçilmişse, cevap detaylı bir şekilde açıklanır.

  • İlgili kişilere yapılan veya yapılması planlanan bildirimin tarihi eklenir.
  • İlgili kişilere yapılan veya yapılması planlanan bildirimin yöntemi yazılır. Bu bildirimler e-posta, mektup, sms vb. şekilde olabilmektedir. Ayrıca bu bildirimin bir örneği “Ekler” bölümüne eklenmelidir.
  • İlgili kişilerin veri ihlali ile ilgili bilgi alabileceği iletişim kanalları yazılacaktır. Örneğin, veri sorumlusu tarafından veri ihlali hakkında bilgi verecek çağrı merkezi veya veri ihlaline dair bilgilerin bulunduğu internet adresi.
  • Veri ihlali ile ilgili Türkiye’de yer alan yargı, kolluk kuvvetleri veya diğer kamu kurumlarının görev alanına giren bir husus olması durumunda ve bu ihlal hakkında bu organizasyon veya kurumlara bilgi verilmiş/verilecek ise Şekil 3.16’daki kutucuklardan “Evet” seçeneği işaretlenir. Aksi durumda “Hayır” seçeneği işaretlenir. “Evet” seçeneğinin işaretlenmesi durumunda tevsik edici belgeler “Ekler” bölümüne tercihe göre eklenebilir. Örneğin, şikâyetçi ifade tutanağı, olay yeri inceleme raporu, suç duyurusu vb.

Veri ihlali ile ilgili yurtdışında bulunan yargının, kolluk kuvvetlerinin veya diğer kamu kurumlarının görev alanına giren bir husus olduğu durumda ve bu ihlal hakkında bu yurtdışında bulunan organizasyon veya kurumlara bilgi verilecek ise Şekil 3.17’deki kutucuklardan “Evet” seçeneği işaretlenir. Aksi durumda “Hayır” seçeneği işaretlenir. “Evet” seçeneğinin seçilmesi durumunda tevsik edici belgeler “Ekler” bölümüne tercihe göre eklenebilir. Bu işlem tamamlandıktan sonra “Kaydet” butonuna tıklanır ve “Olası Sonuçlar” bölümüne geçilir.

Bu bölümde “ilgili kişilerin olumsuz etkilere maruz kalma olasılığı” seçeneklerinden bir tanesi veri sorumlusu tarafından işaretlenir. Açıklamalar dikkatli bir şekilde okunup yaşanılan veri ihlali ile karşılaştırılır ve en uygun seçenek işaretlenir.

“İhlalin Organizasyonunuza Olan Etkileri”, Şekil 3.19’da görülen kutucuklar yanlarında yer alan açıklamalarla birlikte dikkatli bir şekilde okunup yaşanılan veri ihlali ile karşılaştırılarak veri sorumlusu tarafından işaretlenir. Örneğin, veri sorumlusunun sistemindeki tüm kişisel veriler geri döndürülemeyecek şekilde tamamen (yedekleriyle beraber) yok edilmiş ve veri sorumlusunun tüm organizasyonu (iş akışı) yok edilen bu verilere bağlı ise bu ihlalin veri sorumlusunun organizasyonuna etkisi “Çok Yüksek” olarak işaretlenecektir. Sonrasında Kaydet butonuna tıklanır ve bir sonraki “Önlemler” bölümüne geçilir.

Önlemler
Görülen alana çalışanların kişisel verilerin korunması hususunda son bir yıl içinde aldığı eğitimler yazılır. Çalışanların aldığı eğitimlere dair tevsik edici belgeler “Ekler” bölümüne eklenmelidir

Veri sorumlusu, veri ihlalinden önce aldığı teknik ve idari tedbirleri Şekil 3.21’de görülen alanları doldurarak bildirir. Söz konusu tedbirlerle ilgili varsa gerekli açıklamalar en altta yer alan “Açıklamalar” alanına yazılabilir. Ayrıca ihlalden önce alınmış tedbirlere dair tevsik edici belgeler “Ekler” bölümüne eklenmelidir.

Veri sorumlusu, veri ihlalinden sonra aldığı teknik ve idari tedbirleri Şekil 3.22’de görülen alanları doldurarak bildirir. Tedbirlerle ilgili varsa gerekli açıklamalar en altta yer alan “Açıklamalar” alanına yazılabilir. Ayrıca ihlalden sonra alınmış tedbirlere dair tevsik edici belgeler “Ekler” bölümüne eklenir.

Ekler

İhlal Bildiriminin son bölümü olan Ekler bölümüne veri ihlali ile ilgili tevsik edici belgeler konusuna göre “İlgili Soru” kısmından seçilerek “Dosya Seç” butonuna tıklanarak geçerli dosya formatları halinde yüklenir. Yüklenecek tevsik edici belgenin konusu “İlgili Soru” kısmında bulunmuyorsa “Diğer” seçeneği işaretlenir. Geçerli formatta bir dosya seçilmediği takdirde şekildeki gibi uyarı mesajı görülür. Kaydet butonuna tıklandığında o ana kadar bütün bölümlerde yapılan işlemler kaydedilir ve istenilen bölümde değişiklik yapma imkanı devam eder.

Kaydet ve Kuruma Gönder butonuna tıklandığında kayıt işlemi tamamlanır, şekildeki uyarı mesajı çıkar ve sadece “Ekler” bölümünde değişiklik yapılabilir.