KIŞISEL VERI İHLALI MÜDAHALE PROSEDÜRÜ

AnasayfaKIŞISEL VERI İHLALI MÜDAHALE PROSEDÜRÜ

AY SİLİKON VE PLASTİK SAN. TİC. LTD. ŞTİ.

KIŞISEL VERI İHLALI MÜDAHALE PROSEDÜRÜ

Doküman No

KVKK-PRO-02

Revizyon No

1

Yayın Tarihi

01.01.2026

Yürürlük Tarihi

İşbu politika 01.01.2026 tarihinden itibaren Şirket tarafından onaylanarak yürürlüğe girmiştir.

Hazırlayan

Avukat İlhan Can

Onaylayan

Genel Müdür Gültekin Keleş

1. Amaç

Bu Prosedürün amacı; Şirket bünyesinde gerçekleşebilecek kişisel veri ihlallerinin (yetkisiz erişim, ifşa, kayıp, değiştirme vb.) hızlı şekilde tespit edilmesi, etkilerinin azaltılması, kayıt altına alınması ve Kurul/ilgili kişiler dâhil gerekli bildirimlerin yapılmasına ilişkin iş akışını belirlemektir.

2. Kapsam

Prosedür; Şirket’in tüm birimlerini, tüm lokasyonlarını ve Şirket adına kişisel veri işleyen tedarikçi/veri işleyenleri kapsar.

3. Tanımlar

  • Kişisel Veri İhlali: İşlenen kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi, yetkisiz erişim, kayıp, ifşa, değiştirme veya benzeri güvenlik ihlalleri.
  • Olay Müdahale Ekibi: İhlal yönetimini yürüten, Şirket tarafından belirlenen ekip.
  • Olay Müdahale Ekibi Lideri: Genel Müdür Gültekin Keleş
  • KVKK Uyum Sorumlusu/Komitesi: Muhammet Şimşek
  • BT Güvenlik Sorumlusu: Xen Bilişim
  • İK Sorumlusu (çalışan verileri): Muhammet Şimşek
  • Hukuk/İç Denetim (varsa): Avukat İlhan Can
  • İletişim/PR (gerekirse): kvkk@softchef.com

4. Roller ve Sorumluluklar

Veri işleyenler (tedarikçiler), Şirket ile imzaladıkları sözleşmeler kapsamında ihlal şüphesi/tespiti halinde Şirket’i gecikmeksizin bilgilendirmekle yükümlüdür.

5. İhlalin Tespiti ve İlk Bildirim

  1. İhlal şüphesi veya tespiti halinde; çalışan, olayın farkına vardığı anda derhal kvkk@softchef.com / BT Destek / yöneticisi] kanalıyla bildirim yapar.
  2. BT birimi, olayı ön incelemeye alır ve ihlalin devam edip etmediğini tespit eder.
  3. Olay Müdahale Ekibi devreye alınır ve olay kaydı açılır (KVKK-IHL-[YIL]-[SIRA]).

6. Sınıflandırma ve Etki Analizi

Olay Müdahale Ekibi, aşağıdaki unsurları değerlendirir ve kayıt altına alır:

  • İhlale konu veri kategorileri ve özel nitelikli veri olup olmadığı,
  • Etkilenen ilgili kişi grupları ve tahmini kişi sayısı,
  • İhlalin kaynağı (iç/dış), devam edip etmediği,
  • Olası sonuçlar ve risk seviyesi (kimlik hırsızlığı, finansal kayıp, itibar riski vb.),
  • Alınan/alınacak düzeltici ve önleyici tedbirler.
  • İhlalin kaynağı izole edilir (hesap kapatma, erişim kesme, ağ izolasyonu vb.).
  • Parola/erişim yetkileri sıfırlanır ve loglar korunur.
  • Gerekirse sistem yedekleri ve adli bilişim incelemesi için delil bütünlüğü sağlanır.
  • Güvenlik açığı giderilir ve tekrarını önleyici tedbirler devreye alınır.

7. Kontrol Altına Alma ve Düzeltici Faaliyetler

8. Kurul’a ve İlgili Kişilere Bildirim

Kurul’a bildirim gerektiren bir ihlal söz konusu ise; bildirim en kısa sürede ve mümkünse 72 saat içinde yapılır. Haklı gerekçe ile 72 saat içinde bildirim yapılamaması halinde, gecikme gerekçesi Kurul’a ayrıca açıklanır.

Kurul’a yapılacak bildirimde, Kurum tarafından yayımlanan “Kişisel Veri İhlal Bildirim Formu” kullanılır. Formdaki bilgilerin aynı anda sağlanamaması halinde, bilgiler gecikmeye mahal verilmeksizin aşamalı olarak tamamlanır.

İhlalden etkilenmesi muhtemel ilgili kişilere yapılacak bildirimler, riskin niteliğine göre uygun yöntemle (e-posta/SMS/duyuru vb.) ve en kısa sürede yapılır.

9. Kayıt Tutma ve Raporlama

Tüm ihlal yönetim süreci; olay kaydı, alınan kararlar, yapılan bildirimler, düzeltici faaliyetler ve kapanış raporu ile dokümante edilir. Kapanış raporu, benzer ihlallerin önlenmesi için alınacak aksiyonları da içerir.

10. Eğitim ve Tatbikat

Şirket; kişisel veri ihlali farkındalığını artırmak amacıyla ilgili birimlere periyodik eğitim verir ve uygun görülen aralıklarla tatbikat yapabilir.

11. Yürürlük

İşbu Prosedür 01.01.2026 tarihinde yürürlüğe girer ve ihtiyaç halinde güncellenir.