VERİ İHLAL BİLDİRİM PROSEDÜRÜ

NOVA DENTAL VE MEDİKAL HİZMETLER LİMİTED ŞİRKETİ

KİŞİSEL VERİ İHLAL BİLDİRİM PROSEDÜRÜ

Kişisel Veri İhlali Bildirim Prosedürünün Önemi

Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesi 5. fıkrasına göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır. Bununla birlikte veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi gerekmektedir.

Veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, kendi nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konuları içeren bir veri ihlali müdahale planı hazırlanarak belirli aralıklarla bu planın gözden geçirilmesi tavsiye edilmektedir.

TANIMLAR:

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlık bilgileri, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıtsisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Kurul: Kişisel Verileri Koruma Kurumu

Bu prosedürde NOVA DENTAL VE MEDİKAL HİZMETLER LİMİTED ŞİRKETİ veri sorumlusu olarak anılacaktır.

Veri İhlali Olması veya Veri İhlalinin Tespit Edilmesi Durumunda Yapılması Gerekenler:

  • İhlalin Zamanının Tespiti ve İhlalin Kaynağının Tespiti

Veri sorumlusunca ihlalin gerçekleşme zamanının tespitinden sonra ihlalin kaynağının tespit edilmesi gerekmektedir. İhlalin hangi fiil sonucu gerçekleştiğinin tespitigerekmektedir. Örneğin; Belge/cihaz hırsızlığı veya kaybolması

  • İhlalden Etkilenen Kişisel Veri Kategorilerinin Tespiti

Veri sorumlusunca veri envanteri göz önünde bulundurularak kişisel veri ihlalinden hangi verilerin etkilendiğinin tespit edilmesi gerekmektedir.

  • İhlalden Etkilenen Kişi Sayısı ve Kişi Gruplarının Tespiti

Veri sorumlusunca hazırlanan veri envanteri göz önünde bulundurularak tahmini olarak hangi kişi gruplarının ihlalden etkilendiğinin ve etkilenen kişi sayısının tespit edilmesi gerekmektedir.

  • Veri İhlalinin Olası Sonuçlarının Tespiti

Veri sorumlusunca yaşanan ihlal durumunun olası sonuçlarının tespit edilmesi ve kurum içerisinde ki etkilerinin ve sonuçlarının tespit edilmesi gerekmektedir.

  • 72 Saat Kuralı

Kurul “en kısa sürede” ifadesinin 72 saat olarak yorumlanmasına ve bu kapsamda veri sorumlusunun bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesine karar vermiştir. Veri İhlalinin öğrenildiği tarihten itibaren Kurula 72 saat içinde bildirilmesi gerekmektedir. Veri sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması gerekmektedir. Mümkün olduğunca Kurula yapılacak bildirimde Kurulun sitesinde yer alan “Kişisel Veri İhlal Bildirim Formunun” kullanılmasına özen gösterilmelidir. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması gerekmektedir.

Veri Sorumlusu tarafından yapılacak ihlal bildirimleri, kurumun “Nasuh Akar Mah. 1407. Sok. No:4 06520 Balgat-Çankaya/Ankara” adresine “Kişisel Veri İhlal Bildirim Formu” ile yapılabileceği gibi, “ihlalbildirim.kvkk.gov.tr” adresi üzerinden gerçekleştirilebilir.

  • İlgili kişilere bilgi verme

Veri sorumlusunca söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.

  • Ek bilgiler

  • Veri sorumlusu tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması gerekmektedir.
  • Olası veri ihlali ile ilgili çalışanların önceden kurum içerisinde bilgilendirilmesi gerekmektedir.