Kişisel Veri İhlali

YOUSIZER.COM KİŞİSEL VERİ İHLALİ MÜDAHALE PROSEDÜRÜ 04.01.2026

1. TANIMLAR VE KISALTMALAR

Bu Kişisel Veri İhlali Müdahale Prosedürü ("Prosedür"), www.yoursizer.com adresinde faaliyet gösteren Yoursizer.com ("Şirket" veya "Veri Sorumlusu") tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuat hükümlerine uygun olarak hazırlanmıştır. Prosedürde yer alan teknik ve hukuki terimlerin netleştirilmesi, tüm paydaşlar için ortak bir anlayış zemini oluşturmak amacıyla büyük önem taşımaktadır. Aşağıda, bu Prosedür kapsamında kullanılan temel terimler ve kısaltmalar, KVKK'nın 3. maddesi başta olmak üzere ilgili mevzuat hükümleri çerçevesinde açıklanmıştır:

  • Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Yoursizer.com özelinde, özellikle algoritma iyileştirme ve toplu araştırma amaçlarıyla kullanılan verilerde, geri döndürülemez bir şekilde kimlik bağının koparılmasını kapsar.
  • Biyometrik Veri: Kişisel Verilerin Korunması Kanunu'nun 6. maddesi uyarınca özel nitelikli kişisel veri olarak kabul edilen, kişisel vücut şeklini benzersiz ayırt etmeye yarayan, boy, bacak uzunluğu, bel çevresi, omuz genişliği, göğüs, kalça ve tavsiye edilen beden tercihleri bilgileri gibi fiziksel beden ölçülerini ifade eder. Bu veriler, kişiyi diğer bireylerden ayıran ve kimliğini belirlenebilir kılan hassas bilgilerdir.
  • 3D Avatar: Kullanıcının beden ölçülerinden algoritmalarımız aracılığıyla üretilen, kişinin fiziksel özelliklerini temsil eden dijital üç boyutlu modeli ifade eder. Bu avatar, biyometrik verinin işlenmesiyle oluşan benzersiz bir temsildir ve özel nitelikli kişisel veri kategorisinde değerlendirilmektedir.
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder. Yoursizer.com özelinde, platform kullanıcılarını, web sitesi ziyaretçilerini ve hizmetlerimizden faydalanan diğer gerçek kişileri kapsar.
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Yargıtay 12. Ceza Dairesi'nin 2020/1085 E., 2022/5406 K. sayılı kararında da vurgulandığı üzere, kişinin yetkisiz üçüncü kişilerin bilgisine sunmadığı, istediğinde açıklayarak sınırlı bir çevre ile paylaştığı nüfus bilgileri, adli sicil kaydı, yerleşim yeri, eğitim durumu, mesleği, banka hesap bilgileri, telefon numarası, e-posta adresi, kan grubu, medeni hali, parmak izi, DNA'sı, saç, tükürük, tırnak gibi biyolojik örnekleri, cinsel ve ahlaki eğilimi, etnik kökeni, siyasi, felsefi ve dini görüşü, sendikal bağlantıları gibi kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli, gerçek kişiye ait her türlü bilgi kişisel veri olarak kabul edilmektedir.
  • Kişisel Veri İhlali (Veri İhlali): İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, hukuka aykırı olarak açıklanması, erişilmesi, değiştirilmesi, silinmesi, yok edilmesi veya zarar görmesi durumunu ifade eder. KVKK m. 12/5 uyarınca, bu tür bir durumun tespiti halinde veri sorumlusunun bildirim yükümlülüğü doğar.
  • Kurul: Kişisel Verileri Koruma Kurumu'nun karar organı olan Kişisel Verileri Koruma Kurulu'nu ifade eder (KVKK m. 19).
  • Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,

cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder (KVKK m. 6/1). Biyometrik veriler, bu kapsamda yüksek hassasiyet taşıyan özel nitelikli kişisel verilerdir.

  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder (KVKK m. 3/ı). Bu Prosedür kapsamında Yoursizer.com'u ifade eder.
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder (KVKK m. 3/ğ). Yoursizer.com'un hizmet aldığı bulut altyapı sağlayıcıları, analitik hizmet sağlayıcıları gibi üçüncü taraflar bu kapsamda değerlendirilebilir.
  • VİME: Veri İhlali Müdahale Ekibi'nin kısaltmasıdır.

2. VERİ İHLALİ MÜDAHALE EKİBİ (VİME) VE SORUMLULUKLAR

Yoursizer.com olarak, olası bir veri ihlali durumunda hızlı, koordineli ve etkin bir müdahale sağlamak amacıyla, disiplinlerarası bir Veri İhlali Müdahale Ekibi (VİME) oluşturulmuştur. Bu ekip, ihlalin tespiti anından itibaren devreye girerek, olayın kontrol altına alınması, etkilerinin azaltılması ve yasal yükümlülüklerin eksiksiz yerine getirilmesi süreçlerini yönetir. Ekibin üyeleri ve sorumlulukları, olayın karmaşıklığına ve ölçeğine göre genişleyebilir veya daralabilir.

2.1. VİME'nin Yapısı ve Temel Üyeleri: VİME, aşağıdaki çekirdek üyelerden oluşur ve gerektiğinde dış danışmanlar ile genişletilir:

  • Üst Yönetim Temsilcisi (CEO/CTO):
  • İhlal müdahale sürecinin genel koordinasyonunu ve stratejik yönlendirmesini sağlar. ● Kritik kararların alınmasında nihai yetkiye sahiptir.
  • Kurul'a yapılacak bildirimlerin ve kamuoyu açıklamalarının onayını verir. ● Gerekli kaynakların (finansal, insan kaynağı) hızla tahsis edilmesini sağlar. ● Teknik Lider (CTO/DevOps Sorumlusu):
  • İhlalin teknik olarak tespit edilmesi, doğrulanması ve kapsamının belirlenmesinden sorumludur.
  • Etkilenen sistemlerin izolasyonu, zafiyetin kapatılması, sistem geri yükleme ve adli bilişim incelemelerini koordine eder.
  • Log analizi ve teknik raporlamaları hazırlar.
  • Siber güvenlik uzmanları ve diğer teknik ekiplerle işbirliği yapar.
  • Hukuk / KVKK Uyum Sorumlusu:
  • İhlal müdahale sürecinin KVKK ve ilgili mevzuata uygunluğunu denetler. ● Kurul'a ve ilgili kişilere yapılacak bildirimlerin hukuki içeriğini ve zamanlamasını yönetir.
  • Potansiyel hukuki riskleri değerlendirir ve gerekli yasal danışmanlığı sağlar. ● Dış hukuk danışmanlarıyla koordinasyon kurar.
  • Pazarlama / İletişim Sorumlusu:
  • İlgili kişilere yönelik bilgilendirme metinlerinin hazırlanmasında hukuk birimiyle işbirliği yapar.
  • Gerekmesi halinde kamuoyu ve medya ile iletişimi yönetir.
  • Marka itibarı ve kamuoyu algısının korunmasına yönelik stratejiler geliştirir.

2.2. Olay Müdahale İletişim Listesi ve Acil Durum Çağrı Ağacı: VİME üyelerinin ve dış danışmanların (siber güvenlik firması, dış hukuk danışmanı, PR/iletişim desteği) kimliği ve iletişim bilgileri, yetkisiz erişimi önlemek amacıyla, şirket içinde erişimi sınırlandırılmış "Olay Müdahale İletişim Listesi" ve "Acil Durum Çağrı Ağacı" dokümanlarında tutulur. Bu listeye erişim, genel olarak üst yönetim, KVKK/uyum sorumlusu ve teknik lider/DevOps sorumlusu ile sınırlandırılır. Listelerin güncelliği periyodik olarak (en az 6 ayda bir) kontrol edilir ve değişikliklerde derhal güncellenir. Bu mekanizmalar, ihlal anında hızlı ve kesintisiz iletişimi güvence altına alarak müdahale süresini minimize etmeyi hedefler.

2.3. Dış Danışmanlarla Koordinasyon: VİME, olayın niteliğine ve ölçeğine göre dış siber güvenlik uzmanları, adli bilişim firmaları, dış hukuk danışmanları ve halkla ilişkiler/iletişim ajansları ile koordinasyon içinde çalışabilir. Bu dış paydaşlar, uzmanlık alanlarında VİME'ye destek sağlayarak ihlal müdahale sürecinin profesyonel ve kapsamlı bir şekilde yürütülmesine katkıda bulunur. Tüm dış hizmet sağlayıcılarla yapılan sözleşmelerde, veri güvenliği, gizlilik ve ihlal bildirim yükümlülükleri açıkça belirtilmiştir. KVKK m. 12/2 uyarınca, veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

3. VERİ İHLALİNİN TESPİTİ VE İLK DEĞERLENDİRME SÜRECİ

Veri ihlalinin etkin bir şekilde yönetilmesi, öncelikle ihlalin hızlı ve doğru bir şekilde tespit edilmesine ve ardından ilk değerlendirme ile acil müdahale adımlarının atılmasına bağlıdır. Yoursizer.com olarak, bu süreçleri aşağıdaki adımlarla yönetmekteyiz:

3.1. İhlal Şüphesinin Bildirilmesi ve Olay Kaydı Açılması: Veri ihlali şüphesi, çeşitli kaynaklardan gelebilir:

  • Sistem Log Anomalileri: Güvenlik bilgi ve olay yönetimi (SIEM) sistemleri tarafından tespit edilen anormal erişimler, yetkisiz veri transferleri veya sistem davranışları.
  • Kullanıcı Şikayetleri: İlgili kişilerin hesaplarında şüpheli hareketler, kişisel verilerinin ifşa edildiği iddiaları veya kimlik hırsızlığı belirtileri.
  • Üçüncü Taraf Bildirimleri: Güvenlik araştırmacıları, iş ortakları veya diğer kurumlar tarafından yapılan ihlal bildirimleri.
  • İç Denetimler: Periyodik güvenlik denetimleri veya zafiyet taramaları sırasında tespit edilen kritik güvenlik açıkları. Herhangi bir ihlal şüphesi durumunda, ilgili personel derhal VİME'ye bildirimde bulunur ve "Olay Yönetim Sistemi" üzerinden bir olay kaydı açılır. Bu kayıt, olayın başlangıç zamanı, tespit şekli, bildiren kişi ve ilk gözlemleri içermelidir.

3.2. İlk Teknik Doğrulama ve İzolasyon Stratejileri: Olay kaydının açılmasının ardından, Teknik Lider (CTO/DevOps Sorumlusu) ve ilgili teknik ekip, ihlal şüphesini hızla doğrulamak için aşağıdaki adımları atar:

  • Doğrulama: Log kayıtları, sistem metrikleri, güvenlik uyarıları ve etkilenen sistemlerin durumu incelenerek ihlalin gerçekliği ve niteliği tespit edilir. Yetkisiz erişim, veri sızıntısı, kayıp cihaz, yanlış paylaşım gibi senaryolar değerlendirilir.
  • İzolasyon ve Acil Önlemler: İhlalin yayılmasını durdurmak ve potansiyel zararı minimize etmek amacıyla acil izolasyon stratejileri uygulanır. Bu stratejiler şunları içerebilir: ● Erişim Kesme: Yetkisiz erişim sağlandığı tespit edilen hesapların veya anahtarların derhal iptal edilmesi.
  • Sistem Segmentasyonu: Etkilenen sistemlerin, ağ segmentasyonu (VPC izolasyonu) aracılığıyla diğer kritik sistemlerden veya genel ağdan ayrılması.
  • Servis Durdurma/Kısıtlama: İhlalin kaynağı olan servisin geçici olarak

durdurulması veya erişiminin kısıtlanması.

  • Şifre Rotasyonu: İhlalden etkilenmiş olabilecek tüm sistem şifrelerinin ve API anahtarlarının rotasyona tabi tutulması.
  • Güvenlik Duvarı Kuralları: Şüpheli IP adreslerinden gelen trafiğin güvenlik duvarı kuralları ile engellenmesi.
  • Yayılmayı Durdurma Amacı: Bu ilk müdahale adımlarının temel amacı, ihlalin kapsamını sınırlamak, daha fazla veri kaybını veya yetkisiz erişimi önlemek ve sistem bütünlüğünü korumaktır. Yargıtay 11. Hukuk Dairesi'nin 2024/229 E., 2024/5935 K. sayılı kararında da bankaların internet altyapısında yeterli güvenlik tedbirlerini almamasının kusur teşkil ettiği belirtilmiştir. Bu durum, veri sorumlusunun ihlali önleme ve yayılmasını durdurma

konusundaki teknik sorumluluğunu açıkça ortaya koymaktadır.

3.3. Etkilenen Kapsamın Belirlenmesi: İzolasyon adımlarıyla eş zamanlı olarak, ihlalin etkilediği veri kategorileri, tahmini kişi sayısı, etkilenen sistemler ve ihlalin zaman aralığı hızlıca belirlenmeye çalışılır. Bu bilgiler, sonraki risk analizi ve bildirim süreçleri için kritik öneme sahiptir.

4. İHLAL SINIFLANDIRMASI VE RİSK ANALİZİ

Veri ihlalinin tespiti ve ilk izolasyon adımlarının ardından, olayın ciddiyetini ve ilgili kişiler üzerindeki potansiyel etkisini belirlemek amacıyla kapsamlı bir risk analizi yapılır. Bu analiz, müdahale stratejisinin, bildirim yükümlülüklerinin ve alınacak önlemlerin belirlenmesinde temel teşkil eder. Yoursizer.com, olası ihlalleri aşağıdaki risk matrisi çerçevesinde sınıflandırmaktadır:

4.1. Risk Sınıflandırma Matrisi:

Risk SeviyesiTanım ve KriterlerÖrnek SenaryolarMüdahale Aciliyeti
Düşük RiskSınırlı kapsam, düşük hassasiyetli veri (örneğin anonimleştirilmiş kullanım verileri), hızlı kontrol altına alınmış olay, ilgili kişiler üzerinde somut zarar riski düşük.Anonimleştirilmiş analitik verilerinin kısa süreli ve sınırlı yetkisiz erişimi; bir test ortamında maskelenmiş verilerin yanlışlıkla açığa çıkması ve hızla geri çekilmesi.Acil bildirim gerekmeyebilir, iç raporlama ve düzeltici önlemler önceliklidir.
Orta Risk Yüksek RiskDaha geniş kullanıcı etkisi veya işlem güvenliği/kullanım verileri gibi kişisel verilerin (doğrudan kimlik belirleyici olmayan) etkilenmesi. İlgili kişiler üzerinde potansiyel ancak düşük-orta düzeyde zarar riski. Biyometrik veriler (beden ölçüleri, 3D avatar) veya kimlik/iletişim verileri (ad, soyad, e-posta, TCKN) gibi hassas veya özel nitelikli kişisel verilerin sızıntısı, büyük ölçekli etki, kimlik hırsızlığı, dolandırıcılık, ayrımcılık veya itibar zedelenmesi gibi yüksek risk doğuran durumlar.Sınırlı sayıda kullanıcının IP adresi ve tarayıcı bilgilerinin yetkisiz erişime uğraması; e-posta adreslerinin spam listesine dahil edilme riski taşıması. Kullanıcıların beden ölçülerinin veya 3D avatarlarının yetkisiz kişilerce ele geçirilmesi; çok sayıda kullanıcının ad, soyad ve e-posta adreslerinin ifşa olması; ödeme bilgilerinin (sınırlı da olsa) sızdırılması.Kurul'a bildirim gerekli olabilir, ilgili kişilere bireysel bildirim için risk değerlendirmesi yapılır. Kurul'a ve ilgili kişilere derhal bildirim zorunludur. En kısa sürede ve 72 saat içinde aksiyon alınmalıdır.

4.2. Risk Analizi Kriterleri: İhlal sınıflandırması yapılırken aşağıdaki kriterler detaylıca değerlendirilir:

  • Etkilenen Veri Kategorisi: Verinin hassasiyet derecesi. Özellikle biyometrik veriler (beden ölçüleri, 3D avatar), KVKK m. 6 uyarınca özel nitelikli kişisel veri olup, bunların ihlali doğrudan "Yüksek Risk" kategorisinde değerlendirilir. Zira bu veriler, Yargıtay içtihatlarında da belirtildiği üzere, kişinin kimliğini belirleyen veya belirlenebilir kılan, kişiyi toplumda yer alan diğer bireylerden ayıran ve onun niteliklerini ortaya koymaya elverişli hassas bilgilerdir. Finansal veriler (ödeme bilgileri), kimlik ve iletişim bilgileri de yüksek risk potansiyeli taşır.
  • Etkilenen Kişi Sayısı: İhlalden etkilenen ilgili kişi sayısı arttıkça risk seviyesi yükselir. ● İhlalin Niteliği ve Kapsamı: Verilerin yetkisiz erişim, kopyalama, değiştirme, silme veya yok etme gibi hangi eylemlerle etkilendiği. İhlalin ne kadar süreyle devam ettiği ve ne kadar geniş bir coğrafi alanı kapsadığı.
  • İhlalin Muhtemel Sonuçları: İlgili kişiler üzerinde kimlik hırsızlığı, dolandırıcılık, ayrımcılık, itibar zedelenmesi, finansal kayıp gibi somut ve ciddi zararların ortaya çıkma olasılığı.
  • Verilerin Korunma Düzeyi: İhlal edilen verilerin şifrelenmiş, maskelenmiş veya anonimleştirilmiş olup olmadığı. Bu tür koruma önlemleri, risk seviyesini düşürebilir. ● Veri Sorumlusunun Kontrol Yeteneği: İhlalin ne kadar hızlı kontrol altına alındığı ve tekrarının önlenmesi için alınan önlemlerin etkinliği.

Bu risk analizi, VİME tarafından hızlıca tamamlanarak, olayın ciddiyetine uygun müdahale planının ve bildirim stratejisinin belirlenmesini sağlar.

5. OPERASYONEL MÜDAHALE VE SİSTEM İYİLEŞTİRME

Veri ihlalinin etkilerini en aza indirmek ve sistemin güvenliğini yeniden sağlamak amacıyla operasyonel müdahale ve iyileştirme süreçleri, VİME'nin teknik kanadı tarafından hızla ve koordineli bir şekilde yürütülür. Bu süreçler, ihlalin kontrol altına alınmasından kalıcı düzeltmelere kadar uzanan adımları içerir.

5.1. Zafiyetin Kapatılması ve Sistem Güvenliğinin Yeniden Sağlanması:

  • Kök Neden Analizi (RCA): İhlalin temel nedenini (örneğin yazılım zafiyeti, yanlış yapılandırma, yetkisiz erişim, insan hatası) belirlemek için detaylı bir kök neden analizi (RCA) yapılır. Bu analiz, gelecekte benzer ihlallerin önlenmesi için kritik öneme sahiptir. Yargıtay 8. Ceza Dairesi'nin 2019/7710 E., 2019/13426 K. sayılı kararında da soruşturma makamlarının delilleri eksik toplaması ve olayın nedenini tespit etmemesi eleştirilmiştir; bu durum, veri sorumlusunun ihlalin kök nedenini belirleme ve giderme sorumluluğunu pekiştirir.
  • Zafiyetin Kapatılması: Tespit edilen zafiyet (örneğin yazılım hatası, güvenlik açığı) derhal kapatılır. Bu, güvenlik yamalarının uygulanması, kod değişiklikleri veya sistem yapılandırmalarının güncellenmesi yoluyla gerçekleştirilir.
  • Şifre/Anahtar Rotasyonu: İhlalden etkilenmiş olabilecek tüm kullanıcı şifreleri, sistem şifreleri, API anahtarları ve şifreleme anahtarları derhal rotasyona tabi tutulur. Kullanıcılardan şifrelerini değiştirmeleri istenir.
  • Erişim Kontrollerinin Sıkılaştırılması: Rol bazlı erişim kontrolü (RBAC) politikaları gözden geçirilir, yetkiler yeniden düzenlenir ve kritik erişimler için çok faktörlü kimlik doğrulama (MFA) kullanımı zorunlu hale getirilir. KVKK m. 12 uyarınca veri sorumlusu,

kişisel verilere hukuka aykırı erişimi önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Yargıtay içtihatları da bu tür tedbirlerin eksikliğinin idari para cezalarına yol açabileceğini göstermektedir.

  • Sistem İyileştirmeleri: Güvenlik duvarı (WAF) kuralları güncellenir, ağ segmentasyonu politikaları güçlendirilir ve izleme/uyarı sistemleri daha hassas hale getirilir.

5.2. Yedeklerden Geri Yükleme ve Hizmetin Yeniden Başlatılması:

  • Veri Bütünlüğünün Kontrolü: İhlalden etkilenen verilerin bütünlüğü ve doğruluğu kontrol edilir. Veri kaybı veya bozulması tespit edilirse, güvenli ve temiz yedeklerden geri yükleme planı yapılır.
  • Geri Yükleme: En güncel ve güvenli yedekler kullanılarak etkilenen sistemler veya veri tabanları geri yüklenir. Yedekleme stratejileri, veri ihlali durumunda hızlı ve güvenilir geri kazanımı sağlayacak şekilde tasarlanmıştır (bkz. Saklama ve İmha Politikası).
  • Hizmetin Kademeli Başlatılması: Sistemler güvenli bir şekilde geri yüklendikten ve tüm zafiyetler kapatıldıktan sonra, hizmet kademeli olarak ve sıkı bir izleme altında yeniden başlatılır. İlk aşamada sınırlı erişim veya belirli özelliklerin devre dışı bırakılması gibi önlemler alınabilir.

5.3. Zaman Hedefleri: Operasyonel müdahale süreçlerinde zamanlama kritik öneme sahiptir. Yoursizer.com, aşağıdaki zaman hedeflerini benimser:

  • İlk İzolasyon ve Acil Önlemler: İhlal şüphesinin tespit edilmesini takiben ilk saatler içinde tamamlanır. Amaç, ihlalin yayılmasını derhal durdurmaktır.
  • Kapsam/Risk Değerlendirmesi ve İlk Raporlama: İhlalin kapsamı, etkilenen veri kategorileri ve kişi sayısı ile ilgili ilk değerlendirme, ilk 24-48 saat içinde netleştirilir. Bu, bildirim yükümlülüklerinin belirlenmesi için temel oluşturur.
  • Zafiyetin Kapatılması ve Sistem Geri Yükleme: Olayın büyüklüğüne bağlı olarak, zafiyetin kapatılması ve sistemlerin güvenli bir şekilde geri yüklenmesi birkaç gün içinde tamamlanacak şekilde planlanır.
  • Kalıcı Düzeltici-Önleyici Aksiyonlar: Kök neden analizinin tamamlanmasının ardından, benzer ihlallerin gelecekte yaşanmasını önleyecek kalıcı teknik ve idari iyileştirmeler, olayın kapanmasını takip eden haftalar içinde planlanır ve uygulanır.

Bu adımlar, veri ihlalinin operasyonel etkilerini minimize ederken, sistemin güvenliğini ve veri bütünlüğünü en kısa sürede yeniden tesis etmeyi amaçlamaktadır.

6. BİLDİRİM YÜKÜMLÜLÜKLERİ VE USULÜ

Kişisel veri ihlali durumunda, veri sorumlusunun Kişisel Verileri Koruma Kurumu'na (Kurul) ve ilgili kişilere bildirimde bulunma yükümlülüğü, KVKK'nın 12. maddesinin 5. fıkrasında açıkça düzenlenmiştir. Bu bildirimlerin usul ve esasları, Kurul'un 2019/10 sayılı "Veri İhlali Bildirimi Hakkında Kararı" ile detaylandırılmıştır. Yoursizer.com, bu yükümlülükleri eksiksiz ve zamanında yerine getirmek için aşağıdaki prosedürleri izler:

6.1. Kurul'a Bildirim:

  • Bildirim Süresi: İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ve uygulanabilir olması halinde,

ihlalin öğrenildiği tarihten itibaren 72 saat içinde Kurul'a bildirir (KVKK m. 12/5). Bu süre, ihlalin kesin olarak tespit edildiği veya ihlal şüphesinin güçlü kanıtlarla ortaya çıktığı andan itibaren işlemeye başlar. Gecikme olması durumunda, bu gecikmenin haklı gerekçeleri detaylıca kayıt altına alınır ve bildirimde belirtilir.

  • Bildirimin İçeriği: Kurul'a yapılacak bildirim, Kurul tarafından yayımlanan "Veri İhlali Bildirim Formu" doldurularak yapılır. Bu form, aşağıdaki asgari bilgileri içermelidir: ● İhlalin tarihi ve tespit edilme zamanı.
  • İhlalin niteliği (örneğin yetkisiz erişim, veri sızıntısı, kayıp).
  • Etkilenen veri kategorileri (örneğin kimlik, iletişim, biyometrik, finansal). ● Tahmini etkilenen kişi sayısı.
  • İhlalin muhtemel sonuçları (örneğin kimlik hırsızlığı riski).
  • Veri sorumlusu tarafından alınan veya alınması planlanan önlemler.
  • İlgili kişilerin kendilerini korumak için alabileceği tavsiyeler.
  • İlgili kişilerin başvurabileceği iletişim kanalları.
  • Bildirimin Şekli: Kurul'a bildirim, Kurul'un belirlediği online portal veya diğer elektronik iletişim kanalları üzerinden yapılır.

6.2. İlgili Kişiye Bildirim:

  • Bildirim Zorunluluğu: İlgili kişilere bildirim, ihlalin ilgili kişiler üzerinde yüksek risk doğurması halinde gecikmeksizin yapılır (KVKK m. 12/5). Özellikle biyometrik verilerin (beden ölçüleri, 3D avatar) ifşası, kimlik hırsızlığı veya dolandırıcılık riski gibi durumlar "yüksek risk" olarak kabul edilir.
  • Bildirimin İçeriği: İlgili kişilere yapılacak bildirim, Kurul'a yapılan bildirimden farklı olarak daha sade ve anlaşılır bir dille hazırlanır. Asgari olarak aşağıdaki bilgileri içermelidir: ● İhlalin özeti ve niteliği.
  • Hangi kişisel verilerinin etkilendiği.
  • İhlalin kendileri üzerindeki muhtemel sonuçları.
  • Veri sorumlusu tarafından alınan önlemler.
  • Kişisel verilerini korumak için kendilerinin alabileceği adımlar (örneğin şifre değiştirme, hesap hareketlerini kontrol etme).
  • Başvuru ve iletişim kanalları (e-posta, destek hattı).
  • Bildirimin Şekli: İlgili kişilere bildirim, e-posta, SMS, uygulama içi duyuru veya platform üzerinden kişisel bildirim gibi uygun iletişim kanallarıyla yapılır. KVKK m. 10/1-d uyarınca ilgili kişilere hakları konusunda bilgi verilmesi yükümlülüğüne atıfla, bu bildirimde ilgili kişilerin haklarına da değinilir.
  • Yurt Dışı Aktarım Durumunda Bildirim: Kişisel verilerin yurt dışına aktarıldığı durumlarda meydana gelen ihlallerde, veri sorumlusu KVKK m. 9 uyarınca aktarım güvenliği sorumlulukları çerçevesinde Kurul'a ve ilgili kişilere bildirim yükümlülüğünü yerine getirir. Aktarım yapılan veri işleyenin ihlali veri sorumlusuna bildirmesi de zorunludur. KVKK m. 12/2 uyarınca veri sorumlusu, veri işleyenle birlikte müştereken sorumludur.

6.3. Bildirimlerin Kademeli Yapılması: Bazı durumlarda, ihlalin tüm detayları 72 saat içinde tam olarak tespit edilemeyebilir. Bu gibi durumlarda, Veri Sorumlusu, elde ettiği bilgilerle kısmi bir bildirim yaparak Kurul'u bilgilendirir ve eksik kalan bilgileri en kısa sürede tamamlayıcı bildirimlerle iletir. Bu yaklaşım, Kurul'un şeffaflık ve hızlı bilgilendirme beklentisiyle uyumludur.

7. ÖNLEYİCİ TEKNİK VE İDARİ TEDBİRLERİN DENETİMİ

Veri ihlali müdahale prosedürünün etkinliği, yalnızca ihlal anındaki reaktif adımlarla değil, aynı zamanda ihlallerin önlenmesine yönelik proaktif tedbirlerin sürekli olarak gözden geçirilmesi ve güncellenmesiyle sağlanır. Yoursizer.com, KVKK m. 12 uyarınca veri güvenliğine ilişkin yükümlülüklerini yerine getirmek ve olası ihlalleri minimize etmek amacıyla aşağıdaki denetim mekanizmalarını uygulamaktadır:

7.1. Teknik Tedbirlerin Gözden Geçirilmesi: Teknik güvenlik tedbirleri, teknolojik gelişmeler ve siber tehditlerin dinamik yapısı göz önünde bulundurularak düzenli olarak denetlenir ve güncellenir. Bu kapsamda:

  • Çok Faktörlü Kimlik Doğrulama (MFA): Kritik sistemlere ve hassas verilere erişimde MFA kullanımının etkinliği ve kapsamı en az 6 ayda bir gözden geçirilir. Yeni sistemler ve kullanıcı grupları için MFA zorunluluğu genişletilir.
  • Rol Bazlı Erişim Kontrolü (RBAC): Erişim yetki matrisleri ve RBAC politikaları, çalışanların görev değişiklikleri veya sistem güncellemeleri sonrasında en az 6 ayda bir gözden geçirilir. "En az yetki" (least privilege) prensibine uyum sürekli olarak denetlenir.
  • Şifreleme Yöntemleri: Aktarımda (TLS) ve saklamada (at-rest encryption) kullanılan şifreleme algoritmalarının güncelliği ve güvenilirliği periyodik olarak kontrol edilir. Şifreleme anahtarlarının yönetimi ve rotasyonu denetlenir.
  • Ağ Güvenliği (Firewall/WAF, Segmentasyon): Güvenlik duvarı kuralları, ağ segmentasyonu politikaları ve sızma tespit/önleme sistemleri (IDS/IPS) düzenli olarak test edilir ve optimize edilir. Yeni tehditlere karşı güncellemeler yapılır.
  • Zafiyet Yönetimi ve Yama Uygulamaları: Sistemlerdeki yazılım ve donanım zafiyetleri için düzenli taramalar yapılır, tespit edilen zafiyetler önceliklendirilerek yama ve güncelleme süreçleri hızla uygulanır.
  • Güvenli Yedekleme ve İmha: Yedekleme stratejileri, yedeklerin güvenliği, şifrelenmesi ve rotasyon süreleri (72 günlük rotasyon) en az 6 ayda bir gözden geçirilir. Süresi dolan yedeklerin güvenli imha süreçleri denetlenir.

7.2. İdari Tedbirlerin Gözden Geçirilmesi: İdari tedbirler, insan faktöründen kaynaklanabilecek riskleri minimize etmek amacıyla düzenli olarak değerlendirilir:

  • Personel Eğitimleri ve Farkındalık: Tüm çalışanlara yönelik kişisel verilerin korunması, veri güvenliği ve veri ihlali müdahale prosedürleri hakkında verilen eğitimlerin etkinliği ve sıklığı en az 6 ayda bir değerlendirilir. Yeni katılan çalışanlar için zorunlu oryantasyon eğitimleri sağlanır.
  • Gizlilik Taahhütnameleri ve Yetki Matrisi: Çalışanlar ve iş ortakları ile imzalanan gizlilik taahhütnamelerinin güncelliği ve yetki matrisinin uygulanabilirliği periyodik olarak kontrol edilir.
  • Tedarikçi/Alt İşleyen Denetimi: Kişisel veri işleyen üçüncü taraf hizmet sağlayıcıların veri güvenliği politikaları ve uygulamaları, sözleşmesel yükümlülükler çerçevesinde en az yılda bir denetlenir. Yurt dışı aktarım yapılan durumlarda, KVKK m. 9 uyarınca sağlanan güvencelerin (standart sözleşme maddeleri, taahhütnameler) etkinliği kontrol edilir.
  • İç Politikalar ve Prosedürler: Aydınlatma Metinleri, Açık Rıza Beyanları, Çerez Politikası, Saklama ve İmha Politikası gibi tüm iç politikalar ve prosedürler, mevzuat değişiklikleri ve Kurul kararları doğrultusunda en az 6 ayda bir gözden geçirilir ve güncellenir.

7.3. Denetim Yükümlülüğü ve Raporlama: KVKK m. 12/3 uyarınca veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. Bu kapsamda, VİME ve KVKK Uyum Sorumlusu tarafından yürütülen denetim faaliyetlerinin sonuçları, üst yönetime düzenli olarak raporlanır. Raporlar, tespit edilen eksiklikleri, alınan düzeltici önlemleri ve iyileştirme planlarını içerir. Bu sürekli denetim ve iyileştirme döngüsü, Yoursizer.com'un kişisel veri güvenliği konusundaki taahhüdünü ve yasal uyumunu güçlendirmektedir.

8. DOKÜMANTASYON VE KAYIT TUTMA

Veri ihlali müdahale sürecinin şeffaflığı, hesap verebilirliği ve gelecekteki iyileştirmeler için temel teşkil eden en kritik unsurlardan biri, detaylı ve eksiksiz dokümantasyondur. Yoursizer.com, ihlal sürecinin her aşamasını titizlikle kayıt altına alarak, yasal yükümlülüklerini yerine getirmekte ve öğrenilen dersleri kurumsal hafızasına aktarmaktadır.

8.1. İhlal Sürecinin Kayıt Altına Alınması: Veri ihlalinin tespit edildiği andan itibaren, VİME tarafından alınan tüm kararlar, gerçekleştirilen eylemler ve yapılan bildirimler kronolojik ve detaylı bir şekilde kayıt altına alınır. Bu kayıtlar, aşağıdaki bilgileri içermelidir:

  • Olay Kayıt Numarası ve Tarihi: İhlalin benzersiz tanımlayıcısı ve ilk kayıt tarihi. ● Tespit Şekli: İhlalin nasıl ve kim tarafından tespit edildiği (örneğin log anomalisi, kullanıcı şikayeti, üçüncü taraf bildirimi).
  • İlk İnceleme ve Doğrulama Sonuçları: İhlalin gerçekliği, niteliği ve ilk bulgular. ● İzolasyon ve Acil Müdahale Adımları: İhlalin yayılmasını durdurmak için atılan tüm teknik ve idari adımlar (örneğin erişim kesme, şifre rotasyonu, sistem segmentasyonu). ● Etkilenen Veri Kategorileri ve Tahmini Kişi Sayısı: İhlalden etkilenen kişisel veri türleri (kimlik, iletişim, biyometrik, finansal vb.) ve tahmini ilgili kişi sayısı.
  • Risk Analizi Sonuçları: İhlalin ilgili kişiler üzerindeki potansiyel risk değerlendirmesi (düşük, orta, yüksek).
  • Kök Neden Analizi (RCA) Raporu: İhlalin temel nedenleri, tespit edilen zafiyetler ve bunların nasıl giderildiği.
  • Alınan Düzeltici ve Önleyici Tedbirler: İhlalin tekrarını önlemek için yapılan kalıcı sistem iyileştirmeleri ve süreç değişiklikleri.
  • İlgili Kişilere Yapılan Bildirimler: Bildirimin tarihi, içeriği, kullanılan iletişim kanalları ve etkilenen kişi sayısı.
  • Kurul'a Yapılan Bildirimler: Bildirimin tarihi, içeriği, kullanılan form ve varsa ek belgeler. ● VİME Toplantı Notları ve Kararları: İhlal sürecinde VİME tarafından yapılan tüm toplantıların tarihleri, katılımcıları ve alınan kararlar.
  • Dış Paydaşlarla İletişim Kayıtları: Siber güvenlik firmaları, hukuk danışmanları veya PR ajansları ile yapılan tüm yazışmalar ve görüşme notları.

8.2. Kayıtların Saklanması ve "İhlal Kayıt Dosyası": KVKK ve ilgili mevzuat uyarınca, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve bu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır. Bu prensip, veri ihlali kayıtları için de geçerlidir. Tüm bu dokümanlar, "İhlal Kayıt Dosyası" adı altında merkezi ve güvenli bir dijital ortamda (şifreli ve erişimi kısıtlı) muhafaza edilir. Bu dosya, olası bir Kurul denetimi veya hukuki süreçte sunulacak temel referans kaynağıdır. Yargıtay 3. Ceza Dairesi'nin 2021/4383 E., 2023/2717 K. sayılı kararında da dijital delillerin sıhhati ve delil bütünlüğünün korunmasının önemi vurgulanmıştır. Bu nedenle, ihlal kayıt dosyasındaki tüm dokümanların bütünlüğü ve değiştirilemezliği, teknik olarak güvence altına alınır. 8.3. Olay Sonrası Değerlendirme ve Sürekli İyileştirme: Her veri ihlali olayı, Şirketimiz için bir öğrenme fırsatıdır. İhlal süreci tamamlandıktan sonra, VİME tarafından detaylı bir "Olay Sonrası Değerlendirme Raporu" hazırlanır. Bu rapor, ihlalden çıkarılan dersleri, mevcut prosedürlerdeki geliştirme alanlarını ve gelecekteki riskleri azaltmaya yönelik önerileri içerir. Bu raporlar, önleyici teknik ve idari tedbirlerin gözden geçirilmesi ve güncellenmesi mekanizmasına (bkz. Bölüm 7) girdi sağlayarak, Yoursizer.com'un veri güvenliği duruşunun sürekli olarak güçlendirilmesine katkıda bulunur.

Yoursizer.com