KİŞİSEL VERİ İHLAL YÖNETİMİ POLİTİKASI

KİŞİSEL VERİ İHLAL YÖNETİMİ POLİTİKASI

1.AMAÇ ve KAPSAM

Kişisel Veri İhlal Yönetimi Politikası (“Politika”), veri sorumlusu sıfatıyla MAVİ GÖK HAVACILIK ANONİM ŞİRKETİ (bundan sonra “Şirket” olarak anılacaktır.) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmü gereği kişisel verilerin olası ihlali durumunda uygulanacak yöntem ve kuralları düzenler.

2. TANIMLAR

“İlgili Kişi”, “Veri Sahibi” : Şirket tarafından veya Şirket adına yetkilendirilmiş̧ kişiler/kurumlar tarafından kişisel verileri işlenen veri sahibi gerçek kişilerdir.

“İrtibat Kişisi” : Şirket’in 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kişisel Verileri Koruma Kurumu ile kurulacak iletişim için Şirket tarafından Veri Sorumluları Sicili’ne kayıt esnasında bildirilen gerçek kişidir.

“Kişisel Veri” : Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir.

“Kişisel Verinin İşlenmesi” : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılmasıyla da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

“Kurul” : Kişisel Verileri Koruma Kurulu

“Kurum” : Kişisel Verileri Koruma Kurumu

“Kanun”, “KVK Kanunu” : 6698 sayılı Kişisel Verilerin Korunması Kanunu

“KVK Politikası” : Kişisel Verilerin İşlenmesi ve Korunması Politikası

“Politika”: Kişisel Verileri Saklama ve İmha Politikası

“Sorumlu Birim” : Kişisel Verilerin Korunması hakkında KVK Kanunu başta olmak üzere ilgili diğer mevzuata, idari kararlara, yargı kararlarına ve Şirket tarafından konuyla ilgili kabul edilen politikalara ve diğer iş yeri düzenlemeleri tam bir uyumla hareket edilmesi amaçlarıyla kurulan ve bu amaçları Şirkette gerçekleştirmekten sorumlu birimdir.

“Şirket” : MAVİ GÖK HAVACILIK ANONİM ŞİRKETİ

VERBİS : Kişisel Verileri Koruma Kurumu Başkanlığı tarafından kamuya açık olarak tutulan Veri Sorumluları Sicil Bilgi Sistemi‘dir.

“Veri Sorumlusu” : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

3. SORUMLU BİRİMLER VE GÖREV DAĞILIMLARI

İlgili kişi başvuru süreçlerinde görevli Şirket sorumlu birimleri ve görev tanımları aşağıdaki gibidir:

KVK Komitesi Başkanı ve Üyeleri : Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayımlanması ve güncellenmesinden sorumludur.

İrtibat Kişisi: İhlal halinde sürecin yönetilmesi ve birimler arası iletişimin sağlanmasından sorumludur. Kuruma yapılacak bildirimi düzenler ve iletir.

KVK Komitesi Başkanı ve Üyeleri: İhlal oluşturan olayın tespiti, etki boyutu ve etkilenen ilgili kişilerin tespitinden sorumludur.

KVK Komitesi Başkanı ve Üyeleri:  İhlal oluşturan olayın sona erdirilmesi, ihlalin sebeplerinin belirlenmesi ve giderilmesi sürecinden sorumludur.

KVK Komitesi Başkanı ve Üyeleri: İhlalin giderilmesinden sonra, tekrarlanmasını engellemek için ilgili aksiyonların ve güncellemelerin belirlenmesi ve uygulanmasından sorumludur.

4.KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEDBİRLER

Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar dahilinde ve uygulama maliyeti de dikkate alınarak teknik ve idari tedbirleri almaktadır. Kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle ve ilave tedbirlerle uygulanmakta ve Şirket bünyesinde gerekli denetimler periyodik olarak en üst düzeyde sağlanmakta, alınan bu güvenlik tedbirleri ayrıca VERBİS’te belirtilmektedir.

Şirket, kişisel verilerin yalnızca belirlenen amaçlar kapsamında işlenmesini sağlamak ve kötü niyetli olarak kullanılması, kişisel verilere yetkisiz şekilde erişilmesi, aktarımı, yok edilmesi veya değiştirilmesi gibi riskleri azaltmak için uygun her türlü güvenlik tedbirini alır. Bu güvenlik tedbirleri kişisel verilerin yeterli düzeyde veri koruması sağlamayan ülkelere aktarılmaması gibi konularda alınan sair önlemleri de kapsamaktadır.

Şirketin işlediği kişisel veriler gizlidir ve Şirket bu gizliliğe riayet etmektedir. Kişisel verilere ancak Şirket’in yetkilendirdiği kişiler erişebilir. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve Şirket içinde de KVK Politikası’na riayet edilmesi sağlanmaktadır.

Şirket’in gerekli veri güvenliği önlemlerini almasına karşın, Şirket tarafından işletilen platformlara veya Şirket sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda Şirket, söz konusu ihlali gidermek için derhal harekete geçer ve ilgilinin zararını en aza indirir.

5.KİŞİSEL VERİ İHLALİ HALİNDE ŞİRKETİN YÜKÜMLÜLÜKLERİ

Şirket, Kişisel Verilerin Korunması Kanunu madde 12/5'e göre “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”. Buna göre Şirket, kişisel veri ihlalini Kurum’un resmi internet adresinde yer alan formu (https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/e0413853-cd8c-428f-9315-2e8b3d874b46.pdf) doldurarak en kısa sürede ve en geç 72 saat içerisinde Kurul’a bildirir.

Şirket tarafından ihlal bildiriminin belirlenen süre içerisinde gerçekleşememesi halinde, Kurul’a bildirim gecikmenin gerekçeleri de belirtilerek en kısa sürede gerçekleştirilir.

İhlal olayından etkilenen ilgili kişiler tespit edilir ve Şirket’in uygun gördüğü resmi iletişim kanallarından ihlal olayı duyurulur.

6.İHLAL OLAYI YÖNETİM SÜRECİ

Şirket, kişisel veri ihlal olaylarını yönetmek için işbu Politika’da yer alan görevli birimler ve gerek duyması halinde diğer iş birimlerini görevlendirerek yükümlülüklerini yerine getirir. Bu yükümlülükleri yerine getirirken asgari olarak;

  • Kişisel veri içeren ortamların ve işleme faaliyetlerinin izlenmesini sağlar,
  • İhlal olayının tespiti için gerekli fiziksel ve teknolojik tespit yöntemlerini uygular,
  • İhlal olayının sona erdirilmesi için gerekli idari ve teknik güvenlik tedbirlerini en kısa sürede alır,
  • İhlalden etkilenen ilgili kişileri ve etkilenen kişisel verilerin boyutunu tespit eder,
  • İhlal olayı nedenlerini ve gerekli araştırmaları yapar,
  • Değerlendirmeler ile risklerin ve önlemlerin güncellenmesini sağlar,
  • İhlale neden olan eğer Şirket bir çalışanı / çalışanları ise haklarında gereken disiplin süreçlerini başlatır.

7.YÜRÜRLÜLÜK VE DEĞİŞİKLİKLER

İşbu Politika, Şirketin internet sitesinde yayımlanır ve yayımlandığı tarih itibariyle yürürlüğe girer. Şirket, işbu Politika’da her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni Politika’nın yayımlandığı tarihte geçerlilik kazanır.