VERİ İHLALİ MÜDAHALE PLANI

Yürürlük Tarihi: 26.05.2025

Versiyon: 1.0

1. Amaç

İşbu Veri İhlali Müdahale Planı ("Plan"), Valide-i Atik Mah. Nuhkuyusu Cad. No: 73A Üsküdar/İstanbul adresinde mukim GROVTEK TEKNOLOJİ A.Ş. ("Grovtek") bünyesinde kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması; kişisel verilerin hukuka aykırı işlenmesinin ve erişiminin önlenmesi ile verilerin güvenli şekilde muhafaza edilmesi amacıyla gerekli her türlü teknik ve idari güvenlik tedbirlerinin alınmasına yönelik yükümlülüklerin yerine getirilmesi kapsamında, Grovtek'in veri sorumlusu olarak, kişisel verilerin kanuna aykırı yollarla üçüncü kişiler tarafından elde edilmesi durumunda yapılacak bildirimler, raporlama süreçleri, ihlalin olası sonuçlarının değerlendirilmesi ve bu konulardaki görev ve sorumlulukların kimlere ait olduğunun belirlenmesi gibi hususlara ilişkin usul ve esasları düzenlemek ve ilgili rollerin tanımlanması amacıyla hazırlanmıştır.

2. Kapsam

İşbu Plan Grovtek tarafından kişisel verilerin işlenmesi sürecinde veri ihlalinin gerçekleştiği ya da gerçekleştiği şüphesinin hasıl olduğu tüm durumlarda uygulanır.

3. Tanımlar

İşbu Planın uygulanmasında;

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu'nu,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulunu,
Veri İhlali: Veri sorumlusu tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesini,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ve işbu Plan kapsamında Grovtek'i

İfade eder.

4. Veri İhlali

Veri ihlali, işbu Plan'ın 3.maddesinde belirtildiği üzere veri sorumlusu tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesini ifade etmektedir. Yukarıdaki tanıma ek olarak; iletilen, saklanan veya işlenen kişisel verilerin kazaen ya da hukuka aykırı biçimde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz şekilde ifşa edilmesi ya da erişime açılması gibi durumlar da bu Plan kapsamında veri ihlali olarak değerlendirilmektedir.

5. İlkeler ve Temel Adımlar

Grovtek, bir Veri İhlali yaşanması durumunda aşağıdaki ilkeleri ve temel adımları takip eder:

İş birliğine açık ve bütüncül analiz: Veri ihlaline yol açan olay, ilgili tüm birimlerin katılımıyla, gerekli görüldüğünde kolluk kuvvetleri ve kamu kurumlarıyla iş birliği içinde kapsamlı şekilde araştırılır.
Kaynağın tespiti: İhlalin çıkış noktası belirlenir ve buna ilişkin teknik veya idari zafiyetler analiz edilir.
Veri kapsamının belirlenmesi: İhlalden etkilenen kişisel veri kategorileri açık ve net şekilde tespit edilir.
İlgili kişi gruplarının belirlenmesi: İhlalden etkilenen kişi grupları ve taraflar eksiksiz olarak tespit edilir.
Zararların asgariye indirilmesi: Etkilenen kişilerin maruz kaldığı veya kalabileceği olası zararlar tespit edilerek en aza indirilmesi için gerekli önlemler alınır.
Kurumsal etki değerlendirmesi: İhlalin Şirket'in organizasyon yapısına, operasyonlarına, itibara ve finansal duruma olan etkileri ölçülür; hukuka uygun biçimde bu etkilerin azaltılması sağlanır.
İyileşme süresinin tespiti: İhlal sonrası toparlanma ve sistemsel iyileşmenin süresi planlanır ve yönetilir.
Siber saldırı özelinde teknik inceleme: Bilgi sistemlerinin saldırıdan etkilenip etkilenmediği, saldırıya bağlı gerçekleşen ihlal unsurları, organizasyona etkileri ve sistemin ihlal öncesi haline getirilme süreci özel olarak değerlendirilir.
Tekrarın önlenmesi: İhlalin tekrar etmemesi için alınan önlemler planlanır, uygulanma süresi tahmin edilerek gerekli kaynaklar tahsis edilir.
Önleyici tedbir ve farkındalık: Gelecekteki olası ihlalleri önlemek için iç denetimler gerçekleştirilir, çalışanlara yönelik eğitimler düzenlenir ve kurumsal farkındalık artırılır.
Kayıt ve izlenebilirlik: Veri ihlallerine ilişkin tüm bilgiler, etkiler ve alınan önlemler kayıt altına alınır ve gerektiğinde Kişisel Verileri Koruma Kurulu'nun denetimine sunulmak üzere hazır bulundurulur.

6. Kurul'a Bildirim

Bir Veri İhlali gerçekleşmesi durumunda Grovtek Kurul'un 24.01.2019 tarih ve 2019/10 sayılı Kararı doğrultusunda ve işbu Plan uyarınca;

Veri İhlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmekle,
Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerini de Kurula açıklamakla,
Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Grovtek'in kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapmakla,
Kurula yapılacak bildirimde https://ihlalbildirim.kvkk.gov.tr/ adresinde yer alan elektronik "Kişisel Veri İhlal Bildirim Formu"nu veya https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi adresinde yer alan "Kişisel Veri İhlal Bildirim Formu'nun en güncel sürümünü kullanmakla,
Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgileri gecikmeye mahal verilmeksizin aşamalı olarak sağlamakla,
Veri ihlallerine ilişkin bilgileri, etkileri ve alınan önlemleri kayıt altına almakla ve Kurul'un incelemesine hazır halde bulundurmakla,
Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye'de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye'de faydalanmaları durumunda, bu veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurula bildirimde bulunulması için gerekli adımları atmakla,

yükümlüdür.

7. İlgili Kişiye Bildirim

Kurul'un 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca Grovtek veri ihlalinden etkilenen veya etkilenmiş olduğundan şüphelenilen ilgili kişilere açık ve sade bir dille ve aşağıdaki asgari unsurları taşıyan bir bildirimde bulunacaktır:

İhlalinin ne zaman gerçekleştiği,
Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
Kişisel veri ihlalinin olası sonuçları,
Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları.

8. Veri İşleyen Tarafından Bildirim

Grovtek, veri sorumlusu olduğu ve bir veri işleyen tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin ve en geç 24 saat içerisinde kendisine bildirimde bulunması için gerekli adımları atacaktır.

Bu durumda Kurul'a ve ilgili kişiye bildirimler söz konusu veri işleyen bildirimini takiben yapılacaktır.

Veri işleyenden kaynaklanan bir sebeple Kurul'a bildirim süresinin geçirilmesi durumunda veri ihlali Kurul'a ilk fırsatta ve gecikmenin sebepleriyle beraber bildirilecektir.

9. Veri İhlali Müdahale Görevli Şeması ve Sorumlulukları

Grovtek bünyesinde bir Veri İhlali yaşanması halinde aşağıda yer alan birim, departman ve görevliler veya bunlar tarafından Veri İhlalinin gerçekleşmesinden itibaren 24 saat içerisinde belirlenen bir temsilci, bu Plan uyarınca aşağıdaki adımları yerine getirecektir.

BİRİM, DEPARTMAN	ATILACAK ADIMLAR
Yönetim	Veri İhlaline sebep olan olayı tüm yönleriyle araştırarak veri ihlalinin kaynağını tespit etmek. Veri İhlalinden etkilenen kişisel veri kategorilerini ve ilgili kişi gruplarını tespit etmek. Veri İhlalinden etkilenen kişilerin uğradığı ve uğraması muhtemel zararları azaltacak ve yeni zarar oluşmasını engelleyecek önlemleri almak. Varsa ihlalin bildirilmesi gereken yurt içindeki ve yurt dışındaki kurum ve kuruluşları belirlemek. Veri İhlali sonrasındaki iyileştirme sürecini planlamak ve yürütmek. İhlalin tekrarlanmaması için atılması gereken adımları belirlemek ve gerekli önlemleri almak. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı, Kanun'a uygun şekilde Kurul'a 72 saat içerisinde bildirmek. Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemleri kayıt altına almak, ihlal öncesindeki ilgili süreçlerin kayıtlarını derlemek ve Kurul'un incelemesine hazır halde bulundurmak. Veri işleyen nezdinde bulunan kişisel veriler bakımından bir ihlal gerçekleşmesi halinde veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması durumunda Kurul'a gerekli bildirimin yapılmasını sağlamak. Planın her yıl ve gerektiğinde daha sık aralıklarla gözden geçirilmesini ve güncellenmesini sağlamak.
Yazılım	Bilgi sistemlerinin ihlalden etkilenip etkilenmediğini tespit etmek İhlal sonucu sistemin güvenlik ve çalışılabilirlik denetim ve kontrollerini yaparak en kısa zamanda sistemin güvenli şekilde çalışır hale gelmesi için önlem almak ve bu mümkün gözükmüyorsa sistemlerin güvenliğin sağlanabileceği süre boyunca kapatılmasını sağlamak. İhlal sonrasında gerekiyorsa sistemin en son güvenli ve çalışır yedekten yeniden çalışır hale getirilmesini sağlamak. İhlal sonrası yaşanan veri kayıplarını tespit edip kaydını tutmak ve gerektiğinde incelemeye hazır bulundurmak.
İnsan Kaynakları	Veri ihlalinin bir şirket çalışanı tarafından gerçekleştirilip gerçekleştirilmediğini tespit etmek. Şirket çalışanlarının ihlalden etkilenip etkilenmediğini tespit etmek. Veri ihlaline yol açan olay sonrası iç iletişimi gerçekleştirmek ve aynı ihlalin yinelenmemesi için eğitim süreçlerini hazırlamak. Veri ihlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı veri sorumlusunun insan kaynaklarına en kısa zamanda bildirmek.

10. Planın Güncellenmesi ve Yayınlanması

İşbu Plan sadece elektronik ortamda https://www.ismarliyo.com/veri-ihlal-mudahale-plani.html adresinde yayınlanır.

Plan, ihtiyaç duyuldukça Grovtek tarafından gözden geçirilip güncellenebilir. Bu durumda Planın başlığı altında yer alan güncelleme tarihleri, versiyon numarası ve yürürlük tarihi de uygun şekilde güncellenir.

Politika güncellemelerinin aksi açıkça belirtilmedikçe güncelleme tarihinden itibaren 7 gün sonra yürürlüğe girer.