PRS16

	SAMSUN ÜNİVERSİTESİ Veri Kaybı Veri Açığı Prosedürü	Doküman No	PRS16
		Yayın Tarihi	25.02.2022
		Revizyon No	00
		Revizyon Tarihi
		Sayfa No	1/3

PROSEDÜRÜN AMACI

İşbu Veri Kaybı – Veri Açığı Prosedürü (“Prosedür”) 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) dayanak alınarak düzenlenmiş olup, Samsun Üniversitesi (“Veri Sorumlusu”) muhafaza etmekte olduğu verilere ilişkin bir kayıp yaşanması durumunda uygulanacak hareket planını ortaya koymakta ve alınması gereken önlemleri içermektedir.

PROSEDÜRÜN KAPSAMI

Prosedür, Veri Sorumlusu tarafından işlenen ve muhafaza edilen, otomatik, yarı otomatik veya otomatik olmayan yollarda elde edilen kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.

Aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.

Prosedür, Veri Sorumlusu’nun belirlemiş olduğu tüm politika ve prosedürlere vb. uygun olarak uygulanır.

YÜKÜMLÜLER

Veri Sorumlusu çalışanları, Prosedür’de yer alan tüm hususları bilmek ve uygulamakla yükümlüdür. Buna ek olarak, Veri Sorumlusu çalışanları, Prosedür’de belirtilen bildirimleri belirtilen yöntemlerle ve vakit geçirmeksizin yapmakla yükümlüdür.

VERİ KAYBI – VERİ AÇIĞI

Kişisel Veri Kaybı, yetkili olmayan kişilerce, otomatik veya otomatik olmayan kayıt sistemlerinde tutulup tutulmadığına bakılmaksızın; erişimi sınırlandırılmış kişisel verilere erişilmesi, bu verilerin Veri Sorumlusu tarafından erişilemez hale getirilmesi, verilerin başka bir yere gönderilmesi, kopyalanması, silinmesi vb. durumları ifade etmektedir. Bu sebeple, veri kaybı ihtimalin olduğu her durum bir kişisel veri açığı şeklinde nitelendirilmekte olup veri açığı veya veri ihlali olduğundan şüphelenilen durumlar derhal aşağıda belirtilen usule uygun olarak yetkililere bildirilmelidir. Kişisel Veri Açığı’na örnek olarak aşağıdakiler verilebilir;

• Kişisel verilerin işlendiği ekipmanların kazara kaybı, belirli bir süre denetimsiz ve erişilebilir bırakılması veya çalınması (basılı evrak, laptop, sd kart, usb, akıllı telefon vb.)
• Veri veya bilgi sistemlerine yetkisiz erişim (yetkisiz erişim elde etmek veya veri veya bilgi sistemlerinde yetkisiz değişiklik yapmak için kasıtlı veya yanlışlıkla kullanıcı oturum bilgilerini paylaşma)
• Kişisel verilerin KVKK’ya aykırı olarak paylaşılması/aktarılması (örneğin yanlış bir alıcıya gönderilen e-postalar)
• Giriş bilgileri ifşa olmuş kullanıcı hesapları (kimlik avı yoluyla kullanıcı girişi bilgilerinin deşifre edilmesi)

•          Veri Sorumlusu’nun bilgi sistemlerine yetkisiz erişim elde etmek için başarısız veya başarılı girişimler

	SAMSUN ÜNİVERSİTESİ Veri Kaybı Veri Açığı Prosedürü	Doküman No	PRS16
		Yayın Tarihi	25.02.2022
		Revizyon No	00
		Revizyon Tarihi
		Sayfa No	2/3

•  Ekipman arızası,
• Zararlı yazılımların bulunması, yazılımların güncel olmaması 

VERİ KAYBI/İHLALİ/AÇIĞI DURUMUNDA YAPILACAKLAR

Veri ihlallerinin ve ihlal sonucu oluşabilecek zararların önüne geçilebilmesi için öncelikle veri açığı olarak değerlendirilebilecek her ihtimal derhal Kişisel Verileri Koruma Kuruluna bildirilmelidir. Veri Sorumlusu içerisinde veri ihlali durumunda da veri ihlalini fark eden kişi derhal Kişisel Veri Koruma Kuruluna bu durumu bildirmekle yükümlüdür.

Böyle bir veri açığı veya veri ihlali durumunda, veri açığını veya veri ihlalini fark edip yetkililere bildirmeyen çalışan hakkında disiplin işlemi uygulanır.

Veri açığı veya veri ihlali olarak değerlendirilen tüm durumlar aşağıda yer alan ekli form doldurularak derhal [email protected] adresine e-posta yoluyla bildirilir. Bildirilen durumunun risk değerlendirmesi ihlalin ölçeği, hassasiyeti, etkilenen veri sahiplerinin sayısı ve benzeri unsurlar göz önüne alınarak Kişisel Veri Koruma Komisyonu tarafından yapılır. Veri sahiplerinin veri ihlali neticesinde uğrayacağı zararları önlemek, Veri Sorumlusu’nun itibarını ve güvenilirliğini korumak ve idari ve cezai yaptırımların önüne geçmek amacıyla, önemsiz görülen durumlar dahi belirtilen yöntemlerle derhal yetkililere bildirilmelidir.

Kişisel Veri Koruma Komisyonu yapacağı risk değerlendirmesi neticesinde veri açığı veya veri ihlali ile ilgili alınacak tedbirlere ilişkin bir rapor oluşturur. Gerekli durumlarda ilgili savcılığa, Kişisel Verileri Koruma Kurulu’na ve/veya diğer ilgili adli/idari yargı organlarına tüm delillerle birlikte gerekli bildirim ve başvurular yapılır.

VERİ KAYBI VAKIALARININ KAYIT ALTINA ALINMASI

Tüm Kişisel Veri ihlalleri hakkında, ihlalin meydana geldiği tarih ve saat, ihlalin tanımı, ihlalin meydana geldiği yer, ihlalden etkilenen kişisel veriler ve ihlalin teşkil ettiği risk bilgileri yer alınır, elektronik ve fiziki ortamdaki tüm deliller bozulmadan toplanır ve kayıt altına alınır. Veri ihlal kaydı için gerekli bilgiler Kişisel Veri Koruma Komisyonu’nun gözetiminde durumun özellik arz ettiği durumlarda dışarıdan olay tespiti ve delil toplama gibi konularda uzman olan üçüncü gerçek ve/veya kişilerden destek alınarak toplanır.

YÜRÜRLÜK

İşbu Politika yayınlanma tarihi itibari ile yürürlüğe girecektir.

İşbu Politikanın tüm Veri Sorumlusu çalışanlarına ulaşacak biçimde yayınlanması ve gerekli güncellemelerin yapılması halinde bunların da duyurulması Kişisel Verileri Koruma Komisyonu’nun yükümlülüğündedir.

	SAMSUN ÜNİVERSİTESİ Veri Kaybı Veri Açığı Prosedürü	Doküman No	PRS16
		Yayın Tarihi	25.02.2022
		Revizyon No	00
		Revizyon Tarihi
		Sayfa No	3/3

EK – 1 Olay Bildirim Formu