1. AMAÇ
Bu Planın amacı, MİKROPLAS PLASTİK VE AMBALAJ MALZEMELERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ (MİKROPLAS A.Ş.) başta olmak üzere diğer tüm bağlı iştirakleri, bünyesindeki diğer şirketler olarak kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüklerini yerine getirmek amacıyla işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu sıfatıyla Mikroplas A.Ş. tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğunkimde olduğunun belirlenmesi gibi konulara ilişkin rolleri ve sorumlulukları tanımlamak, usul ve esasları düzenlemektir.
2. KAPSAM
Bu Planın kapsamı, Mikroplas A.Ş. tarafından fiziki veya elektronik ortamda işlenen kişisel verilerin işlenmesinde görevli çalışanları içermektedir.
3. TANIMLAR
Bu Planın uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgüriradeyle açıklanan rızayı,
b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
c) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu
g) Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgiliverileri ile biyometrik ve genetik veriler (işbu Sözleşme’nin devamında kullanılan “kişisel veri” ifadesi, uygun olduğu ölçüde özel nitelikli kişisel verileri de kapsamaktadır),
h) Plan: Mikroplas A.Ş. Veri ihlali müdahale planını,
i) Veri ihlali: Veri sorumlusu tarafından işlenen kişisel verilerin kanuni olmayanyollarla başkaları tarafından elde edilmesini,
j) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişiselverileri işleyen gerçek veya tüzel kişiyi,
k) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
l) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veyatüzel kişiyi, ifade eder.
4. VERİ İHLALİ
Kanunun 12’nci maddesinin 5’inci fıkrası gereğince, MİKROPLAS A.Ş. tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesidir.
Yukarıdaki tanıma ilaveten; iletilen, saklanan veya işlenen kişisel verilerin kazara yasadışı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması ve/veya bunlara erişime yol açan bir güvenlik ihlalinin meydana gelmesi de yine Plan kapsamında Veri İhlali olarak nitelendirilecektir.
5. HEDEFLER
Bir Veri İhlali yaşanması durumunda, MİKROPLAS A.Ş.’in Plan çerçevesinde hedefleri:
1. Veri İhlaline sebep olan olayı dahili olarak tüm ilgili departmanlar nezdinde araştırmak (gerektiği hallerde kolluk kuvvetleri ve diğer kamu kurum ve kuruluşları ile iş birliğiiçerisinde),
2. Veri İhlalinin kaynağını tespit etmek,
3. Veri İhlalinden etkilenen kişisel veri kategorilerini tespit etmek,
4. Veri İhlalinden etkilenen kişi gruplarını/tarafları tespit etmek,
5. Veri İhlalinden etkilenen tarafların mevcutta uğradıkları ve uğramaları muhtemel potansiyel etkileri tespit etmek ve varsa bu etkilerden doğan zararların en asgariye indirilmesini sağlamak,
6. Veri İhlali neticesinde MİKROPLAS A.Ş.’in organizasyonuna olan etkilerinin, ticari kaybın, operasyonlardaki azalmanın, itibarî kayıpların ve/veya finansal zararların boyutlarını tespit etmek ve hukuka uygun bir şekilde en asgariye indirilmesini sağlamak,
7. Veri İhlali sonrasındaki iyileşmenin zamanını tespit etmek,
8. Eğer siber saldırı varsa;
a. Bilgi sistemlerinin siber saldırıdan etkilenip etkilenmediğini,
b. Saldırı sonucu gerçekleşen ihlal unsurunu,
c. Siber saldırının MİKROPLAS A.Ş.’ın organizasyonuna olan etkilerini, ve Siber saldırı sonrasındaki iyileşmenin zamanını tespit etmek,
9. İhlalin tekrarlanmaması için atılan adımları belirlemek ve bunların tahminen ne kadar zamanda tamamlanacağını hesaplamak,
10. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı,
a. Kanuna uygun şekilde Kurula 72 saat içerisinde,
b. Veri İhlalinden etkilenen ilgili kişilere en kısa sürede uygun yöntemlerle,
c. Çalışanlara en kısa sürede,
d. Eğer gerekiyorsa yurtiçinde bulunan diğer organizasyon veya kurumlara ilgili yasal yükümlülüklere uygun sürede,
11. Yurt dışında bulunan diğer veri koruma otoriteleri veya ilgili kurumlara ilgili yasalyükümlülüklere uygun sürede, bildirmek,
12. Gelecekte meydana gelmesi ihtimaline karşı olası Veri İhlallerinin en aza indirilmesi için Veri İhlaline yol açan olay sonrası iç denetimi tertiplemek, eğitim faaliyetleri düzenlemek ve iç iletişimi sağlamak;
13. Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurmaktır.
6. GÖREVLİLER VE SORUMLULUKLAR
Veri İhlali yaşanması halinde bu Plan gereğince MİKROPLAS A.Ş. bünyesindegörevli departmanlar, Veri İhlaline neden olan olayın niteliğine göre belirlenir; ancak her koşulda aşağıdaki tabloda yazan departmanlardan her birinden en az bir temsilci görevlendirilecektir. Temsilcilerin sorumluluklarına da aynı tabloda belirtilmiştir.
| VERİ İHLALİ MÜDAHALE PLANI KAPMASINDA GÖREVLİLER VESORUMLULUKLARI | |
| Görevli Departman | Veri İhlali Halinde Sorumlulukları |
| Veri Koruma Sorumlusu | 1. Veri İhlaline sebep olan olayı dahili olarak tüm ilgili departmanlar nezdinde(gerektiği hallerde kolluk kuvvetleri ve diğer kamu kurum ve kuruluşları ile işbirliği içerisinde) araştırmak.2. Veri İhlalinin kaynağını tespit etmek.3. Veri İhlalinden etkilenen kişisel veri kategorilerini tespit etmek.4. Veri İhlalinden etkilenen kişi gruplarını/tarafları tespit etmek.5. Veri İhlalinden etkilenen tarafların mevcutta uğradıkları ve uğramalarımuhtemel potansiyel etkileri tespit etmek ve varsa bu etkilerden doğan zararların en asgariye indirilmesini sağlamak.6. Veri İhlali neticesinde MİKROPLAS A.Ş.’ın organizasyonuna olanetkilerinin, ticari kaybın, operasyonlardaki azalmanın, itibarî kayıpların ve/veya finansal zararların boyutlarınıtespit etmek ve hukuka uygun bir şekilde en asgariye indirilmesini sağlamak.7. Veri İhlali sonrasındaki iyileşmenin zamanını tespit etmek.8. İhlalin tekrarlanmaması için atılan adımları belirlemek ve bunlarıntahminen ne kadar zamanda tamamlanacağını hesaplamak.9. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı,Kanuna uygun şekilde Kurula 72 saat içerisinde bildirmek.10. Yurt dışında bulunan diğer veri koruma otoriteleri veya ilgili kurumlarailgili yasal yükümlülüklere uygun sürede, bildirmek.11. Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altınaalınması ve Kurulun incelemesine hazır halde bulundurmak.12. Gelecekte meydana gelmesi ihtimaline karşı olası Veri İhlallerinin en azaindirilmesi için Veri İhlaline yol açan olay sonrası iç denetimi tertiplemek, eğitim faaliyetleridüzenlenmesini ve iç iletişimi sağlamak.13. Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarlabaşkalarıtarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi birgecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması durumunda yine Kurula gereklibildirimin yapılmasını sağlamak.14. Planın, yürürlük tarihinden itibaren her 6 (altı) ayda bir gözdengeçirilmesini sağlamak. |
| IT Departmanı | Veri ihlalinin siber saldırı veya diğer başka bir elektronik yolla gerçekleşmesi halinde;1. Bilgi sistemlerinin Veri İhlalinden etkilenip etkilenmediğini tespit etmek.2. Veri İhlali sonucu gerçekleşen ihlal unsurunu tespit etmek.3. Veri İhlalinin MİKROPLAS A.Ş.’nın organizasyonuna olan etkilerini tespit etmek.4. Veri İhlali sonrasındaki iyileşmenin zamanını tespit etmek. |
| IK Departmanı | 1. Veri ihlalinin MİKROPLAS A.Ş. çalışanı tarafından gerçekleştirilipgerçekleştirilmediğini tespit etmek.2. MİKROPLAS A.Ş. çalışanlarının Veri İhlalinden etkilenip etkilenmediğini tespitetmek.3. Veri İhlali sonucu gerçekleşen ihlal unsurunu, Veri İhlalinin MİKROPLAS A.Ş.’inorganizasyonuna olan etkilerini ve Veri İhlali sonrasındaki iyileşmenin zamanını tespit etmek.4. Veri İhlaline yol açan olay sonrası eğitim faaliyetleri hazırlamak ve içiletişimi gerçekleştirmek.5. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı çalışanlara enkısa sürede bildirmek.6. Veri İhlaline yol açan olay sonrası iç denetimi gerçekleştirmek.7. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı, Veri İhlalindenetkilenen ilgili kişilere en kısa sürede uygun yöntemlerle bildirmek.8. Eğer gerekiyorsa yurtiçinde bulunan diğer organizasyon veya kurumlara ilgili yasalyükümlülüklere uygun sürede bildirmek. |
7. BİLDİRİM
Veri Sorumlusu Tarafından Bildirim
Veri İhlal bildirimleri, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuzsonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak amacıyla Kurula ve ihlalden etkilenmiş kişilere yapılmalıdır. Buna ilişkin Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı doğrultusunda hazırlanan işbu Plan gereğince MİKROPLAS A.Ş.’ın;
1. Veri İhlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesi,
2. Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapması,
3. Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması,
4. Kurula yapılacak bildirimde “https://ihlalbildirim.kvkk.gov.tr/”adresinde yer alana Kişisel Veri İhlal Bildirim Formunun kullanılması,
5. Kurula yapılacak bildirimde https://ihlalbildirim.kvkk.gov.tr/ adresinde yer alan “Kişisel Veri İhlal Bildirim Formu”nun kullanılması halinde aynı adresteki “Kişisel Veri İhlali Bildirim Formu (Internet) Kılavuzu”nun okunması,
6. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması, ve
7. Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması veKurulun incelemesine hazır halde bulundurulması gerekmektedir.
MİKROPLAS A.Ş. bildirime ilişkin yukarıda sayılı tüm işlemleri işbu Planın 5’inci maddesinde belirtilen ve aynı madde içerisindeki tabloda detaylı şekilde verilenbirimlerince yürütür.
İlgili Kişiye Bildirim Esasları
Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 Sayılı Kararı doğrultusunda, veri ihlalinden etkilenen veya etkilenmiş olduğundan şüphelenilen ilgili kişilere yapılacak bildirim açık ve sade bir dille yapılacak ve bildirimde asgari olarak şu unsurlar bulunacaktır.
1. İhlalinin ne zaman gerçekleştiği,
2. Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
3. Kişisel veri ihlalinin olası sonuçları,
4. Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
5. İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim veiletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezivb. iletişim yolları
Veri İşleyen Tarafından Bildirim
Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusu olan MİKROPLAS A.Ş.’ne bildirimde bulunması gerekmektedir. Veri işleyenin bildirimini müteakip MİKROPLAS A.Ş. tarafından, Planın 6’ncı maddesindeki süreç izlenerek Kurula bildirim yapılacaktır.
Yurt Dışı Veri İhlali
Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da Planın 6’ncı maddesinde belirtilen esaslar çerçevesinde Kurula bildirimde bulunulacaktır.
8. YÜRÜRLÜK ve PLANIN GÖZDEN GEÇİRİLMESİ
MİKROPLAS A.Ş. tarafından hazırlanan bu Plan yönetim organı tarafından alınan karar doğrultusunda yürürlüğe girdiği tarihten itibaren geçerlidir. Hazırlanan ve yürürlüğe konulan bu Plan, yılda bir periyodik olarak gözden geçirilir.
9. GÜNCELLEME TABLOSU
Bu Plan’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
| GÜNCELLEME TARİHİ/VERSİYON | GÜNCELLEMELERİN KAPSAMI |