{{ search }}
Musichool
{{ search }}
Musichool

Musichool Kişisel Veri İhlal Prosödürü

İÇİNDEKİLER

  • HEDEF VE KAPSAM
  • DAYANAK
  • VERİ SORUMLUSU
  • TANIMLAR
  • VERİ İHLALİ / VERİ İHLALİ RİSKİ
  • AKSİYON PLANI
  • 6.1.VERİ İHLALİ SEBEBİNİN TESPİTİ
  • 6.2.   İHLALDEN ETKİLENEN VERİ SAHİPLERİ
  • KİŞİSEL VERİ KATEGORİLERİ
  • ÖZEL NİTELİKLİ KİŞİSEL VERİ KATEGORİLERİ
  • İHLALDEN ETKİLENEN KİŞİ SAYISI
  • İHLALDEN ETKİLENEN KİŞİ GRUPLARI
  • İHLALİN KİŞİLER ÜZERİNDEKİ ETKİSİ
  • İHLAL NEDENİYLE DOĞMASI MUHTELİF RİSKLER
  • İHLALİN ORGANİZASYONA ETKİSİ
  • İYİLEŞME ZAMANI
  • BİLGİ SİSTEMİNİN SİBER SALDIRIDAN ETKİLENMESİ
  • İHLAL ve YAPTIRIMLAR
  • REVİZYON

HEDEF VE KAPSAM

Veri mahremiyeti mevzuatına uyum konusunda azami hassasiyeti gösteren Musichool OÜ ( “Musichool” ) bu kapsamda risk temelli bir yaklaşım benimsemektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVK Kanunu” olarak anılacaktır) özel hüküm içeren sair mevzuata uygun olarak veri sorumlusu sıfatıyla muhafaza edilen kişisel verilere ilişkin politika ve prosedürler oluşturarak yayımlanmış olmakla birlikte, anılan politikaların veya kişisel verilere ilişkin süreçlerin ihlal edilmesi halinde alınması gereken tedbir, ilk işlemler, yazışmalar ve işletilmesi gereken süreçlerin planlanması amacıyla Musichool Kişisel Veri İhlali Prosedürü tanzim edilmiştir.

İşbu prosedür ile; veri koruma düzenlemeleri altında Musichool bünyesinde işlenen kişisel ve özel nitelikteki kişisel verilerin kanuni olmayan yollarla üçüncü şahısların eline geçmesi ihtimaline karşın alınacak aksiyon planı detaylandırılmıştır.

DAYANAK

Musichool Veri İhlali Prosedürü; KVK Kanunu ve Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin 24.01.2019 Tarih Ve 2019/10 Sayılı Kararına İlişkin Duyuru gereği yayımlanmış olup; Musichool KVK Politikası ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan yayın ve rehberlere riayet edilerek hazırlanmıştır.

Veri sorumlusunun en hassas yükümlülüklerinden biri bünyesinde işlenen kişisel verilerin güvenliğini sağlamasıdır. Bu amaçla Musichool, KVK Kanunu’nun 12. maddesi gereği;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.

VERİ SORUMLUSU

Tüzel kişiliği altında işlenen kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve veri işleme faaliyetinden sorumlu olan Musichool; KVK Kanunu gereği veri sorumlusudur.

TANIMLAR

Musichool Veri İhlali Prosedürü ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:

Kişisel Veri   Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikteki Kişisel Veri  Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyleilgili veriler ile biyometrik ve genetik veriler
Veri Sahibi  Kişisel verisi işlenen belirli yada belirlenebilir gerçek kişi (İlgili kişi)
Veri İhlali  Kişisel verilerin korunması hukukunda; işlenen kişisel verilerin kanuni olmayan yollarla üçüncü şahısların eline geçmesi
Veri Sorumlusu  Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Kişisel Verilerin İşlenmesi  Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
  KVK Kurumu  Kişisel Verileri Koruma Kurumu

  Veri Güvenliği Kurulu		  Musichool tarafından, kişisel verilerin korunması mevzuatına uyumun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul

VERİ İHLALİ / VERİ İHLALİ RİSKİ

KVK Kanunu gereğince kişisel veri veya özel nitelikli kişisel veri olarak tanımlanmış olan verilerin veri sahibinden açık rıza alınmaksızın elde edilmesi, işlenmesi, yurtiçi veya yurtdışında bulunan üçüncü kişiler ile paylaşılması veya açık rıza alınmış olmasına rağmen, kişisel verilerin korunması hakkında yayınlanmış politikaların ihlal edilerek üçüncü kişilerin eline geçmesi, verilerin fiziki veya elektronik alanlara hukuka aykırı olarak müdahale edilerek üçüncü kişilerin uhdesine geçmesi, fiziki ve elektronik ortamlarda yeterli veri güvenliği tedbirlerinin alınmaması, veri ihlali veya veri ihlali riski olarak nitelendirilecektir.

AKSİYON PLANI

Veri ihlali tespiti halinde durum; ilgili veri sahiplerine ve Kişisel Verileri Koruma Kurulu’na en kısa süre içinde ve en geç 72 saat içinde bildirilir. 72 saatlik bildirim süresine uyulması amacıyla aşağıda yer alan süreçlerin işletilmesi esastır.

Veri ihlalinin tespiti halinde ilgili personel tarafından gecikmeksizin en geç 60 dakika içerisinde Veri Güvenliği Kurulu yetkililerine bu kişilere ulaşılamaması halinde ise Musichool yetkililerine durum hakkında sözlü bildirimde bulunulur. İhlalin duyumu üzerine; Veri Güvenliği Kurulu, en geç 24 saat içerisinde toplanarak aşağıda yer alan süreçler üzerinde çalışma gerçekleştirmelidir.

VERİ İHLALİ SEBEBİNİN TESPİTİ

  • Kişisel verilerin yanlış alıcılara gönderilmesi
  • Belge/cihaz hırsızlığı veya kaybolması
  • Verilerin güvensiz ortamlarda depolanması
  • Zararlı yazılımlar
    Sosyal mühendislik
  • Sabotaj
  • Kaza/ İhmal
  • Diğer

İHLALDEN ETKİLENEN VERİ SAHİPLERİ

İhlalden etkilenen veri sahipleri; makul süre içerisinde söz konusu ihlal hakkında bilgilendirilir.

İhlal sonrası veri sahiplerinin kişisel verileri ile ilgili talep ve başvuruları derhal işleme alınarak Musichool Veri Sahibi İlişkileri Kılavuzu gereği değerlendirilir.

KİŞİSEL VERİ KATEGORİLERİ

  • Kimlik
  • İletişim
  • Lokasyon
  • Özlük Hukuki
  • İşlem Müşteri
  • İşlem
  • Fiziksel Mekan Güvenliği
  • İşlem Güvenliği
  • Risk Yönetimi
  • Finans
  • Mesleki Deneyim
  • Pazarlama
  • Görsel ve İşitsel Kayıtlar

ÖZEL NİTELİKLİ KİŞİSEL VERİ KATEGORİLERİ

  • Irk ve Etnik Köken
  • Siyasi Düşünce
  • Felsefi İnanç
  • Din, Mezhep ve Diğer
  • İnançlar
  • Kılık ve Kıyafet
  • Dernek Üyeliği
  • Vakıf Üyeliği
  • Sendika Üyeliği
  • Sağlık Bilgileri
  • Cinsel Hayat
  • Ceza Mahkumiyeti ve
  • Güvenlik Tedbirleri
  • Biyometrik Veri
  • Genetik Veri

İHLALDEN ETKİLENEN KİŞİ SAYISI

Tahmini Kişi Sayısı :…………………………………………
Tahmini Kayıt Sayısı :…………………………………………

İHLALDEN ETKİLENEN KİŞİ GRUPLARI

  • Çalışanlar
  • Kullanıcılar
  • Aboneler/Üyeler
  • Müşteriler ve potansiyel
  • Müşteriler
  • Diğer

İHLALİN KİŞİLER ÜZERİNDEKİ ETKİSİ

  • Kişisel veriler üzerinde kontrol kaybı
  • Kimlik hırsızlığı
  • Ayrımcılık
  • Hakların kısıtlanması
  • Dolandırıcılık
  • Finansal kayıp
  • İtibar kaybı
  • Kişisel verilerin güvenliği kaybı
  • Diğer

İHLAL NEDENİYLE DOĞMASI MUHTELİF RİSKLER

İHLALİN ORGANİZASYONA ETKİSİ

  • Bilinmiyor
  • Düşük: Herhangi bir etkinlik kaybı söz konusu değil.
  • Orta: Bazı kullanıcılarınıza önemli bir hizmeti sunma yetinizi kaybettik.
  • Yüksek: Tüm kullanıcılarınıza her türlü önemli hizmeti sunma yetinizi kaybettik.

İYİLEŞME ZAMANI

  • Normal
  • Destekli
  • Uzatılmış
  • Geri Dönülmez
  • Tamamlanmış

BİLGİ SİSTEMİNİN SİBER SALDIRIDAN ETKİLENMESİ

  • Evet
  • Hayır

İHLAL ve YAPTIRIMLAR

Veri sorumlusu tarafından yayınlanmış olan kişisel verilere ilişkin politika ve prosedürlerin çalışanlar tarafından ihlal edilmesi halinde; İş Sözleşmesi, KVK Gizlilik Taahhütnamesi ve 4857 sayılı İş Kanunu gereğince çalışanın savunması alınır ve fiile uygun disiplin tedbiri tesis edilir. Fiilin aynı zamanda 5237 sayılı Türk Ceza Kanunu veya sair kanunlarca suç teşkil etmesi halinde gerekli adli mercilere bildirim yapılır.

REVİZYON

İşbu Kılavuz, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Kılavuz içerisinde yapılacak değişiklikler ve ne şekilde uygulamaya koyulacağı konusunda yine Veri Güvenliği Kurulu yetkilidir.

Musichool Kişisel Veri İhlali Prosedürü her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu’nun onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Prosedür’de yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

İdari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak Musichool, Kişisel Veri İhlali Prosedürü’nde değişiklik yapma hakkını saklı tutar. İşbu prosedür veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek prosedüre eklenecek, gerekli duyurular yapıldıktan sonra prosedürün ayrılmaz bir parçası olarak kabul edilecektir.