ŞİRKET-Veri İhlali Müdahale Politikası

 

 

SELTAŞ AKARYAKIT SANAYİ VE TİCARET ANONİM ŞİRKETİ VERİ İHLALİ MÜDAHALE POLİTİKASI

 

 

1.GİRİŞ

Kişisel verilerin korunması, Şirketimizin en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret gösterilmektedir. İşbu Veri İhlali Müdahale Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde yaşanması muhtemel bir veri ihlalinde izlenmesi gereken prosedürün ortaya konulmakta, böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır.

2.AMAÇ

6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’ncimaddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri İhlali Müdahale Politikası (“Politika”), Şirketimizce işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirketimiz tarafından benimsenecek ve uygulamada dikkate alınacak faaliyetleri belirlemek amacıyla hazırlanmıştır.

3. KAPSAM

Politika hükümleri, Şirketimizin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politika Şirketin tüm birimlerini, destek hizmeti veren firma personellerini, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli personeli kapsamaktadır.

4.SORUMLULUKLAR

Politikanın Şirketimizin işleyiş, faaliyet ve süreçlerinde ve uygulanmasında, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde Şirket genelinde tüm çalışanlarımız, paydaşlarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler iş birliği yapmakla yükümlüdür. Şirketin tüm organ ve departmanları Şirket Veri İhlali Müdahale Politikasının uygulanmasından sorumludur.

5.VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

Kişisel Verilerin Korunması Kanunu’na  göre kişisel veri güvenliğinin temini için Veri sorumlusu;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

 

 

 

6. TANIMLAR VE KISALTMALAR

 

ŞİRKET:

Seltaş Akaryakıt Sanayi ve Ticaret Anonim Şirketi

AÇIK RIZA:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

ANONİM HALE GETİRME:

Kişisel verinin, kişisel veri niteliği kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

İLGİLİ KİŞİ:

Kişisel verisi işlenen gerçek kişi. Ör: Müşteriler, ziyaretçiler, çalışanlar ve çalışan adayları.

KİŞİSEL VERİ:

Kimliği belirli ve belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örn: ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası, banka hesap numarası vb.

ÖZEL NİTELİKLİ KİŞİSEL VERİ:

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

KİŞİSEL VERİLERİN İŞLENMESİ:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

VERİ SORUMLUSU:

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten gerçek veya tüzel kişiyi ifade eder

VERİ SAHİBİ BAŞVURU FORMU:

İlgili Kişinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.

ANAYASA:

9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete’de yayımlanan;7 Kasım 1982 tarihli 2709 sayılı Türkiye Cumhuriyeti Anayasası

KVK KANUNU:

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

POLİTİKA:

Veri İhlali Müdahale Politikası

AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ:

10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI:

Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan politika

PERİYODİK İMHA: 

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

KAYITLI ELEKTRONİK POSTA (KEP): 

Her türlü ticari, hukuki yazışma ve belge paylaşımlarınızı gönderdiğiniz biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.

VERİ SORUMLULARI SİCİL BİLGİ SİSTEMİ:

 Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

 

7.KİŞİSEL VERİ İHLALİ

Kişisel veri ihlali, kişisel verilerin kanuna aykırı bir şekilde elde edilmesi, hukuka aykırı bir şekilde kişisel verilere yetkisiz erişim sağlanması, kişisel verilerin yanlışlıkla/kasten yetkisiz kişilere açıklanması, kişisel verilerin hukuka aykırı bir şekilde silinmesi, değiştirilmesi veya bütünlüğünün bozulması gibi durumlarda ortaya çıkmaktadır.

Aşağıda yer alan durumlar genel olarak kişisel veri ihlali olarak değerlendirilir:

·         Kişisel veri içeren fiziki dokümanların veya elektronik cihazların çalınması veya kaybolması,

·         Kişiye özel kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi,

·         Gizli bilgilerin hukuka aykırı şekilde ifşası,

·         Kişisel veri ve/veya gizli bilgi içeren e-postaların yanlışlıkla şirket dışında ilgisiz kişilere iletilmesi, gönderimi,

·         Şirket ekipmanlarına, sistemlerine ve ağlarına virüs veya diğer saldırıların (örneğin siber saldırı)gerçekleşmesi suretiyle kişisel verilere hukuka aykırı erişim sağlanması.

Yukarıda belirtilen veya benzer durumlarda bu Prosedür’de belirtilen şekilde hareket edilmelidir.

8.VERİ İHLALİ MÜDAHALE EKİBİ

Kişisel veri ihlali durumunda oluşan veya oluşabilecek kriz durumuna müdahale etmek ve Kanun kapsamında öngörülen yükümlülükleri yerine getirmek için aşağıdaki departmanlardan belirlenen katılımcıların dahil edileceği bir Kriz Müdahale Ekibi (Ekip) oluşturulur:

·         Veri Sorumlusu İrtibat Kişisi

·         Veri Sorumlusu Üst Yöneticisi (Genel Müdür)

·         İhlalin Meydana Geldiği Departmanın Yöneticisi

9.VERİ İHLALİ MÜDAHALE SÜRECİ

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Buna göre, İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket söz konusu veri ihlalini, en kısa sürede (en geç 72 saat) Kurul’a ve söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip makul olan en kısa süre içerisinde ilgili kişiye bildirmelidir.

İlgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmalıdır.

Veri sorumlusu tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

·         İhlalinin ne zaman gerçekleştiği,

·         Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,

·         Kişisel veri ihlalinin olası sonuçları,

·         Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,

·         İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerekmektedir.

Kurula yapılacak bildirimde yine Kurul’un belirlediği ve web sitesinde yayınladığı KVK Kurulu Veri İhlal Bildirim Formu doldurularak Kurula iletilir.

Şirket tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir.

Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanmalıdır.

Şirket tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması sağlanmalıdır.

Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyen bu konuda herhangi bir gecikmeye yer vermeksizin Şirket’e bildirimde bulunmalıdır.

Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulmalıdır.

Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu plan gözden geçirilmelidir.

10.POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.

11. POLİTİKA’NIN YÜRÜRLÜĞÜ

İşbu Politika’nın yürürlük tarihi 31.12.2021’dir. İşbu Politika, Şirketimizin internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

12.DAĞITIM

Politika, Şirket internet sitesinde yayınlanarak, ziyaretçiler ve ilgili üçüncü kişilere, hissedarlara, müşterilere ve Şirket çalışanlarına duyurulur.