1. Amaç
Bu Yönergenin amacı, Printomi Teknoloji AŞ. (“Şirket”) tarafından işlenen kişisel verilerle ilgili acil hallerde yapılması gerekenlere ilişkin kuralların ve usullerin belirlenmesidir. Acil durumlar, Şirket içinde bulunan kişisel verilerin saldırıya uğraması, sistemlerin hacklenmesi, içeriden dışarıya bilgi sızdırıldığına ilişkin ciddi endişelerin mevcut olmasıdır.
Yönerge, Yönetim Kurulu tarafından alınan karar ile yürürlüğe girer. Yönerge’nin uygulanmasından Şirket KVK Komitesi sorumludur.
2. Acil Eylem Planı
Şirket içinde bulunan kişisel verilerin korunması ve veri güvenliği konusunda görev yapacak KVK Komitesi, yukarıda tanımlanan acil hallerden biri ile karşılaşıldığında derhal bütün sisteme müdahale yetkisine sahiptir. Bu konuda Komite, gerek Şirket içinde gerekse Şirket dışında bulunan resmi ya da yetkin kişi ya da kuruluşlarla iş birliği yapabilir.
3. Acil Durumun Sisteme Müdahale Suretiyle Ortaya Çıkması
Şirket bilgi işlem sistemlerine dışarıdan ya da içeriden bir müdahale ile karşılaşıldığında KVK Komitesi her türlü gerekli tedbiri alabilir. Gerektiğinde sistemin kapatılması da dahil yetki kısıtlamalarına gidebilir. KVK Komitesi, karşılaşılan durumu, aldığı ve sonrasında alınması gereken önlemler hakkında derhal şirketteki bütün ilgilileri toplayarak bilgi verir.
Dışarıdan ya da içeriden sisteme müdahale eden kişilerin kimlik tespiti için gerekli işlemleri ve aksiyonları alır. Söz konusu kişilerin eylemleri hakkında derhal Şirket’in hukuk birimini haberdar eder.
4. Sisteme Fiziki Müdahale
Bilgi işlem sistemlerine fiziki müdahalenin ve yetkisiz girişlerin engellenmesi için gerekli her türlü tedbiri alır. Bu konuda sisteme yetkisiz erişimleri engelleyecek her türlü idari ve teknik tedbirler alınıp uyarılar yapılır. Şirket içinden ya da dışından bilgi işlem sistemlerine yetkisiz erişimin tespiti halinde Şirket güvenliği ya da kolluk güçlerine derhal haber verilir. Söz konusu kişi eğer Şirket çalışanı ise hakkında soruşturma açılır.
5. Verilerin Dışarıya Sızması
Şirkette Kişisel Verilerin dışarıya sızdığına ilişkin bir şüphe var ise bu husus, derhal KVK Komitesine iletilir. Gerekli hallerde Şirket sistemleri derhal sızma testine tabi tutulur.
6. KVK Komitesinin Toplantıya Çağırma Yetkisi
KVK Komitesi, ihlalin ve acil durumun niteliğine göre gerekli her türlü önlemi almaya ve ilgilileri toplantıya çağırmaya yetkilidir.
7. Veri İhlali Bildirimi
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu’na bildirir.
Şirket tarafından söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılır.
Kişisel Verileri Koruma Kurulu’na yapılacak bildirimde Kişisel Veri İhlal Bildirim Formu kullanılır.