1. ЦЕЛЬ

Целью настоящего Плана является определение ролей и обязанностей, а также регулирование процедур и принципов в отношении таких вопросов, как определение лиц, ответственных внутри PROTON OTOMASYON ELEKTRİK MAKİNA İNŞAAT TAAHHÜT SANAYİ VE TİCARET LİMİTED ŞİRKETİ («PROTON»), включая, в первую очередь, все остальные аффилированные дочерние предприятия и другие компании в ее структуре, в качестве оператора данных, касательно того, кому будет осуществляться отчетность внутри компании, уведомлений, направляемых в рамках Закона, и оценки возможных последствий нарушения безопасности данных, в случае если персональные данные, обрабатываемые с целью защиты основных прав и свобод человека, в первую очередь конфиденциальности частной жизни, предотвращения неправомерной обработки персональных данных, предотвращения неправомерного доступа к персональным данным и выполнения обязательств по принятию всех необходимых технических и административных мер для обеспечения надлежащего уровня безопасности с целью обеспечения сохранности персональных данных, будут получены третьими лицами незаконным путем.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ

Область применения настоящего Плана включает в себя сотрудников, ответственных за обработку персональных данных, обрабатываемых PROTON в физической или электронной среде.

3. ОПРЕДЕЛЕНИЯ

При применении настоящего Плана следующие термины означают:
а) Явное согласие: Согласие по конкретному вопросу, основанное на информировании и выраженное свободной волей,
б) Субъект данных: Физическое лицо, чьи персональные данные обрабатываются,
в) Закон: Закон о защите персональных данных № 6698,
г) Персональные данные: Любая информация, относящаяся к определенному или определяемому физическому лицу,
д) Обработка персональных данных: Любая операция, совершаемая с персональными данными, такая как сбор, запись, систематизация, хранение, изменение, адаптация, раскрытие, передача, извлечение, предоставление доступа, категоризация или предотвращение их использования, полностью или частично автоматизированными средствами либо неавтоматизированными средствами при условии, что данные являются частью системы регистрации данных,
е) Совет: Совет по защите персональных данных,
ж) Специальные категории персональных данных: Данные, касающиеся расы, этнического происхождения, политических мнений, философских убеждений, религии, конфессии или других верований, одежды и внешнего вида, членства в ассоциациях, фондах или профсоюзах, здоровья, половой жизни, судимостей и мер безопасности, а также биометрические и генетические данные (выражение «персональные данные», используемое далее в настоящем Соглашении, в соответствующей степени охватывает также и специальные категории персональных данных),
з) План: План реагирования на инциденты нарушения безопасности данных PROTON,
и) Нарушение безопасности данных: Получение третьими лицами незаконным путем персональных данных, обрабатываемых оператором данных,
к) Лицо, осуществляющее обработку данных: Физическое или юридическое лицо, которое обрабатывает персональные данные от имени оператора данных на основании полномочий, предоставленных оператором данных,
л) Система регистрации данных: Система регистрации, в которой персональные данные структурируются и обрабатываются в соответствии с определенными критериями,
м) Оператор данных: Физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных и несет ответственность за создание и управление системой регистрации данных.

4. НАРУШЕНИЕ БЕЗОПАСНОСТИ ДАННЫХ

В соответствии с пунктом 5 статьи 12 Закона, это получение третьими лицами незаконным путем персональных данных, обрабатываемых PROTON.
В дополнение к вышеуказанному определению; возникновение нарушения безопасности, которое приводит к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию передаваемых, хранящихся или обрабатываемых персональных данных и/или доступу к ним, также квалифицируется как Нарушение безопасности данных в рамках Плана.

5. ЦЕЛИ

В случае возникновения Нарушения безопасности данных целями PROTON в рамках Плана являются:
1. Расследовать инцидент, повлекший Нарушение безопасности данных, внутри компании со всеми заинтересованными отделами (при необходимости во взаимодействии с правоохранительными органами и другими государственными органами и организациями),
2. Выявить источник Нарушения безопасности данных,  
3. Выявить категории персональных данных, затронутых Нарушением безопасности данных,
4. Выявить группы лиц / стороны, затронутые Нарушением безопасности данных,
5. Выявить текущие и вероятные потенциальные последствия, возникшие у сторон, затронутых Нарушением безопасности данных, и обеспечить минимизацию ущерба, вытекающего из этих последствий, если таковой имеется, до самого минимального уровня,
6. Выявить масштабы воздействия на организацию PROTON, коммерческих потерь, снижения операционной деятельности, репутационных потерь и/или финансовых убытков в результате Нарушения безопасности данных и обеспечить их минимизацию в соответствии с законом,
7. Определить время восстановления после Нарушения безопасности данных,
8. При наличии кибератаки:
а. Выявить, затронуты ли информационные системы кибератакой,
б. Выявить элемент нарушения, произошедший в результате атаки,
в. Выявить последствия кибератаки на организацию PROTON и определить время восстановления после кибератаки,
9. Определить шаги, предпринимаемые для предотвращения повторения нарушения, и рассчитать приблизительное время, необходимое для их завершения,
10. Уведомить об инциденте, повлекшем Нарушение безопасности данных, или об убытках, возникших в результате инцидента:
а. В соответствии с Законом — Совет в течение 72 часов,
б. Субъектов данных, затронутых Нарушением безопасности данных, в кратчайшие сроки надлежащими методами,
в. Сотрудников в кратчайшие сроки,
г. При необходимости — другие организации или учреждения внутри страны в срок, соответствующий применимым юридическим обязательствам,
11. Другие органы по защите данных или соответствующие учреждения за рубежом в срок, соответствующий применимым юридическим обязательствам,
12. Организовать внутренний аудит, провести обучающие мероприятия и обеспечить внутреннюю коммуникацию после инцидента, приведшего к Нарушению безопасности данных, в целях минимизации возможных Нарушений безопасности данных против вероятности их возникновения в будущем;
13. Фиксировать информацию о нарушениях безопасности данных, их последствиях и принятых мерах, а также поддерживать их в состоянии готовности для проверки Советом.

6. ОТВЕТСТВЕННЫЕ ЛИЦА И ОБЯЗАННОСТИ

В случае Нарушения безопасности данных отделы, ответственные внутри PROTON в соответствии с настоящим Планом, определяются в зависимости от характера инцидента, повлекшего Нарушение безопасности данных; однако в любом случае назначается как минимум один представитель от каждого из отделов, указанных в таблице ниже. Обязанности представителей также указаны в этой же таблице.

ОТВЕТСТВЕННЫЕ ЛИЦА И ИХ ОБЯЗАННОСТИ В РАМКАХ ПЛАНА РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ДАННЫХ
 

Görevli Departman	Veri İhlali Halinde Sorumlulukları
Veri Koruma Sorumlusu	1. Veri İhlaline sebep olan olayı dahili olarak tüm ilgili departmanlar nezdinde (gerektiği hallerde kolluk kuvvetleri ve diğer kamu kurum ve kuruluşları ile iş birliği içerisinde) araştırmak. 2. Veri İhlalinin kaynağını tespit etmek. 3. Veri İhlalinden etkilenen kişisel veri kategorilerini tespit etmek. 4. Veri İhlalinden etkilenen kişi gruplarını/tarafları tespit etmek. 5. Veri İhlalinden etkilenen tarafların mevcutta uğradıkları ve uğramaları muhtemel potansiyel etkileri tespit etmek ve varsa bu etkilerden doğan zararların en asgariye indirilmesini sağlamak. 6. Veri İhlali neticesinde PROTON’un organizasyonuna olan etkilerinin, ticari kaybın, operasyonlardaki azalmanın, itibarî kayıpların ve/veya finansal zararların boyutlarını tespit etmek ve hukuka uygun bir şekilde en asgariye indirilmesini sağlamak. 7. Veri İhlali sonrasındaki iyileşmenin zamanını tespit etmek. 8. İhlalin tekrarlanmaması için atılan adımları belirlemek ve bunların tahminen ne kadar zamanda tamamlanacağını hesaplamak. 9. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı, Kanuna uygun şekilde Kurula 72 saat içerisinde bildirmek. 10. Yurt dışında bulunan diğer veri koruma otoriteleri veya ilgili kurumlara ilgili yasal yükümlülüklere uygun sürede, bildirmek. 11. Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurmak. 12. Gelecekte meydana gelmesi ihtimaline karşı olası Veri İhlallerinin en aza indirilmesi için Veri İhlaline yol açan olay sonrası iç denetimi tertiplemek, eğitim faaliyetleri düzenlenmesini ve iç iletişimi sağlamak. 13. Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması durumunda yine Kurula gerekli bildirimin yapılmasını sağlamak. 14. Planın, yürürlük tarihinden itibaren her 6 (altı) ayda bir gözden geçirilmesini sağlamak.
IT Departmanı	Veri ihlalinin siber saldırı veya diğer başka bir elektronik yolla gerçekleşmesi halinde; 1. Bilgi sistemlerinin Veri İhlalinden etkilenip etkilenmediğini tespit etmek. 2. Veri İhlali sonucu gerçekleşen ihlal unsurunu tespit etmek. 3. Veri İhlalinin PROTON’un organizasyonuna olan etkilerini tespit etmek. 4. Veri İhlali sonrasındaki iyileşmenin zamanını tespit etmek.
IK Departmanı	1. Veri ihlalinin PROTON’un çalışanı tarafından gerçekleştirilip gerçekleştirilmediğini tespit etmek. 2. PROTON çalışanlarının Veri İhlalinden etkilenip etkilenmediğini tespit etmek. 3. Veri İhlali sonucu gerçekleşen ihlal unsurunu, Veri İhlalinin PROTON’un organizasyonuna olan etkilerini ve Veri İhlali sonrasındaki iyileşmenin zamanını tespit etmek. 4. Veri İhlaline yol açan olay sonrası eğitim faaliyetleri hazırlamak ve iç iletişimi gerçekleştirmek. 5. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı çalışanlara en kısa sürede bildirmek. 6. Veri İhlaline yol açan olay sonrası iç denetimi gerçekleştirmek. 7. Veri İhlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı, Veri İhlalinden etkilenen ilgili kişilere en kısa sürede uygun yöntemlerle bildirmek. 8. Eğer gerekiyorsa yurtiçinde bulunan diğer organizasyon veya kurumlara ilgili yasal yükümlülüklere uygun sürede bildirmek.

7. BİLDİRİM

Veri Sorumlusu Tarafından Bildirim

Veri İhlal bildirimleri, ihlalden etkilenen kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak amacıyla Kurula ve ihlalden etkilenmiş kişilere yapılmalıdır. Buna ilişkin Kurulun 24.01.2019 tarih ve 2019/10 sayılı Kararı doğrultusunda hazırlanan işbu Plan gereğince PROTON’un;
1. Veri İhlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmesi,
2. Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapması,
3. Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurula açıklanması,
4. Kurula yapılacak bildirimde “https://ihlalbildirim.kvkk.gov.tr/”adresinde yer alana Kişisel Veri İhlal Bildirim Formunun kullanılması,
5. Kurula yapılacak bildirimde https://ihlalbildirim.kvkk.gov.tr/ adresinde yer alan “Kişisel Veri İhlal Bildirim Formu”nun kullanılması halinde aynı adresteki “Kişisel Veri İhlali Bildirim Formu (Internet) Kılavuzu”nun okunması,
6. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması, ve
7. Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurulun incelemesine hazır halde bulundurulması gerekmektedir.
PROTON bildirime ilişkin yukarıda sayılı tüm işlemleri işbu Planın 5’inci maddesinde belirtilen ve aynı madde içerisindeki tabloda detaylı şekilde verilen birimlerince yürütür.

İlgili Kişiye Bildirim Esasları

Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 Sayılı Kararı doğrultusunda, veri ihlalinden etkilenen veya etkilenmiş olduğundan şüphelenilen ilgili kişilere yapılacak bildirim açık ve sade bir dille yapılacak ve bildirimde asgari olarak şu unsurlar bulunacaktır.
1. İhlalinin ne zaman gerçekleştiği,
2. Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
3. Kişisel veri ihlalinin olası sonuçları,
4. Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
5. İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

Veri İşleyen Tarafından Bildirim

Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusu olan PROTON’a bildirimde bulunması gerekmektedir. Veri işleyenin bildirimini müteakip PROTON tarafından, Planın 6’ncı maddesindeki süreç izlenerek Kurula bildirim yapılacaktır.

Yurt Dışı Veri İhlali

Veri ihlalinin yurt dışında yerleşik veri sorumlusu nezdinde yaşanması halinde, bu ihlalin sonuçlarının Türkiye’de yerleşik ilgili kişileri etkilemesi ve ilgili kişilerin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, bu veri sorumlusu tarafından da Planın 6’ncı maddesinde belirtilen esaslar çerçevesinde Kurula bildirimde bulunulacaktır.

8. YÜRÜRLÜK ve PLANIN GÖZDEN GEÇİRİLMESİ

PROTON tarafından hazırlanan bu Plan yönetim organı tarafından alınan karar doğrultusunda yürürlüğe girdiği tarihten itibaren geçerlidir. Hazırlanan ve yürürlüğe konulan bu Plan, yılda bir periyodik olarak gözden geçirilir.

9. GÜNCELLEME TABLOSU

Bu Plan’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
 

GÜNCELLEME TARİHİ/VERSİYON	GÜNCELLEMELERİN KAPSAMI