Web sitemizde çerezleri kullanıyoruz. Bazı çerezlerin kullanılması web sitemizin çalışması için gereklidir; ancak, gerekli olmayan çerezlerin kullanılması hakkında tercih yapabilirsiniz. Detaylı bilgi için Çerez Politikamızı* inceleyebilirsiniz.
Organizasyon / Yetkili Birim | Bilgi Güvenliği Yönetim Sistemleri Ekibi |
Politika sürümü | v.1 |
Yürürlük tarihi | 01.01.2023 |
İnceleme tarihi | 01.02.2023 |
İşbu Politika hakkında sorular için iletişim bilgisi: | [email protected] |
AMAÇ
Veri ihlali Müdahale Planı, Integro Health tarafından gerçekleştirilmekte olan kişisel veri saklama ve işleme faaliyetleri sırasında, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, ihlalden etkilenmiş kişiler hakkında ortaya çıkabilecek olumsuz sonuçların önüne geçilmesini veya en aza indirilmesini sağlamak için yapılacak iş ve işlemler konusunda usul ve esasları belirlemek amacıyla, Kanun’un 12/5 maddesine istinaden ve Kurul’un Karar’ına uygun olarak hazırlanmıştır.
Kişisel veri ihlalinin tespiti halinde yapılacak iş ve işlemler, Integro Health tarafından hazırlanmış olan bu plana uygun olarak gerçekleştirilir.
TANIMLAR
KISALTMA / TANIM | Açıklama |
IntegroHealth | INTEGRO Sağlık Hizmetleri Ve Bilişim Teknolojileri Ticaret Anonim Şirketi |
Kanun veya KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Karar | Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 tarih ve 2019/10 sayılı Kararı |
Kurul | Kişisel Verileri Koruma Kurulu |
Kurum | Kişisel Verileri Koruma Kurumu |
Plan | Veri İhlali Müdahale Planı |
KAPSAM
Veri ihlali Müdahale Planı, kişisel veri ihlali gerçekleşmesi halinde veri sorumlusu tarafından kendi nezdinde kimlere raporlama yapılacağı, Kanun kapsamında yapılacak bildirimlerin şekli ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda sorumluluğun kimde olduğunun belirlenmesi konularını kapsamaktadır.
SORUMLULUK ve GÖREVLER
Integro Health bünyesindeki tüm birimler ve çalışanlar, Integro Health tarafından saklanmakta ve işlenmekte olan kişisel verilere yetkisiz veya kanuni olmayan yollarla müdahale edildiğini veya yetkisi olmayan kişilere bilerek veya yanlışlıkla iletildiğini öğrendikleri anda yöneticilerine veya sorumlu birimlere durumu bildirmekle yükümlüdürler. Integro Health bünyesindeki tüm çalışanlar işbu Plan’ı ve EK-1’de yer alan adımları bilip takip etmekten sorumludur.
Kişisel Veri ihlali Müdahale Planı uyarınca görevli olan kişilerin unvanları, birimleri ve görev tanımları dağılımı aşağıdaki şekilde olacaktır:
Ünvan / Birim | Görev |
Genel Müdür | Tüm çalışanların bu plana uygun hareket etmesinden sorumludur. |
Avukat | Bu planın hazırlanması ve güncellenmesinden sorumludur.
Veri ihlali tespiti halinde Kanun kapsamında yapılacak bildirimleri hazırlamak ve süreci takip etmekten sorumludur. |
Bilgi İşlem | Planın yayınlanması ve uygulanması için gerekli altyapı ve çözümleri sağlamakla yükümlüdür. |
Diğer birimler | Veri ihlalinin olası sonuçlarının değerlendirilmesinden ve planın görevlere uygun olarak yürütülmesinden sorumludur. |
IntegroHealth | Veri Sorumlusu |
Veri İşleyen | Integro Health’in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
VERİ İHLALİ GERÇEKLEŞMESİ HALİNDE DAHİLİ RAPORLAMA YAPILACAK KİŞİLER
Kişisel veri ihlalinin tespiti halinde derhal, tespiti yapan personel tarafından bağlı olduğu bölüm yöneticisine, Genel Müdüre ve avukata durum raporlanacaktır. Kişisel Verileri Koruma Kurumu’na ve ilgili kişilere yapılacak bildirimlere esas olmak üzere, raporlamada;
belirtilecektir.
KANUN KAPSAMINDA YAPILACAK BİLDİRİMLER
KVKK’nın 12/5 maddesine ve Kurul’un Karar’ına istinaden, kişisel veri ihlalinin tespiti üzerine gecikmeksizin ve en geç 72 saat içerisinde veri sorumlusu adına yetkilendirilen avukat tarafından Kurul’a bildirim yapılacaktır.
Ayrıca, IntegroHealth tarafından söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa IntegroHealth internet sitesi üzerinden yayımlanmak suretiyle bildirim yapılacaktır.
Veri sorumlusu tarafından Kurul’a haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanacaktır.
Kurul’a yapılacak bildirimde Kurul tarafından yayımlanan ve https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi# adresinde bulunan “Kişisel Veri İhlal Bildirim Formu” kullanılacaktır.
Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanacaktır.
KİŞİSEL VERİ İHLALİNİN OLASI SONUÇLARININ DEĞERLENDİRİLMESİ
Kişisel veri ihlali tespit edilmesi halinde ilgili bölüm sorumlusu, avukat ve Genel Müdür ile birlikte yapılacak değerlendirme ile veri ihlalinin olası sonuçları tespit edilmeye çalışılacaktır. Ayrıca Kurul’un Karar’ına istinaden;
PLANIN YAYINLANMASI VE SAKLANMASI
Plan, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası IntegroHealth merkezinde dosyasında saklanır.
PLANIN GÜNCELLENME PERİYODU
Plan, ihtiyaç duyuldukça ve en fazla 1 yıllık periyotlarda gözden geçirilir ve gerekli olan bölümler güncellenir.
EK 1 – Veri İhlal Sürecine İlişkin 5 Adım
1. ADIM – Sistemlerinizi Koruyun
Sistemlerinizi korumak için hızlı hareket edin ve veri ihlalinin hala devam edip etmediğini tespit edin
Ek veri kaybını durdurun
Kanıtları yok etmeyin
Organizasyonunuz içinde veri ihlalini fark eden veya veri ihlallerini raporlamak üzere belirlenmiş irtibat kişisini bilgilendiren kişilerle konuşun
Soruşturmanızı belgelendirin/kayıtlarını tutun
2. ADIM – Aksiyon Alınması & Zafiyetlerin Giderilmesi
Veri ihlalinin büyüklüğüne bağlı olarak görevli bir Müdahale Ekibi (Task Force) oluşturun; her halükarda avukatların sürece dahil edildiğinden emin olun
İhlale neden olmuş olabilecek zafiyetleri giderin
Hizmet sağlayıcılarınızdan biri ihlale karışmış ise, erişim sahibi oldukları kişisel verileri gözden geçirin ve erişim ayrıcalıklarını değiştirmeye gerek olup olmadığına karar verin
Hizmet sağlayıcılarınızın başka bir ihlalin gerçekleşmesini engellemek üzere gerekli tedbirleri aldığından emin olun
3. ADIM – Bildirim
Kişisel Verileri Koruma Kurumu başta olmak üzere ilgili otoritelerin gerekli şekilde bilgilendirildiğinden emin olun
Kişisel Verileri Koruma Kurumuna bildirim veri ihlali fark edildikten sonraki 72 saat içinde gerçekleştirilmelidir
Genel kural: kişisel veri ne kadar çoksa, ihlalin bildirilmesi de bir o kadar önemli olacaktır
Veri ihlalinden etkilenen ilgili kişiyi bilgilendirin
İlgili kişiye ve diğer ilgili taraflara ve kurumlara sağladığınız bilginin ve bildirimlerin hızlı ve gerekli kapsama sahip olduğundan emin olun.
4. ADIM – İletişim
İhlalden haberdar olması gereken IntegroHealth organizasyonuyla birlikte tüm etkilenen kitleye ulaşan kapsamlı bir iletişim planı oluşturun
5. ADIM – Veri Koruma Çabanızı Arttırın
Gelecekteki veri ihlallerinden kaçınabilmek için ilgili ekipleri veri koruma hususunda eğitin
Veri ihlali gerçekleşen spesifik IntegroHealth departmanını veya alanını takip altında tutun
Gelecekte benzer durumlarla nasıl başa çıkılacağı konusunda çalışanların eğitildiğinden ve destek aldığından emin olun
Organizasyonunuz kapsamında veri koruma ve güvenlik ihlalleriyle nasıl başa çıktığınız konusundaki çabalarınızı kayıt altına alın