Bu prosedür; KVKK'nın 12. maddesi ve GDPR'nin 33. ve 34. maddeleri uyarınca, BÂROFE'un kişisel veri ihlali durumunda izleyeceği adımları, bildirim yükümlülüklerini ve kayıt tutma gerekliliklerini düzenlemektedir.

Veri İhlali Nedir?

Kişisel verilerin kazara veya hukuka aykırı olarak imha edilmesi, kaybolması, değiştirilmesi, yetkisiz biçimde ifşa edilmesi ya da bu verilere yetkisiz erişilmesidir. Kasıt şart değildir — yanlış bir yapılandırma veya hatalı bir gönderim de ihlal oluşturabilir.

Örnek durumlar: müşteri veritabanına yetkisiz erişim; kişisel veri içeren bir e-postanın yanlış alıcıya gönderilmesi; fidye yazılımı, phishing veya SQL enjeksiyonu gibi siber saldırılar; veri barındıran cihazların kaybolması veya çalınması; yazılım açıklarından kaynaklanan veri sızıntısı; yetkisiz çalışan erişimi.

Tespit ve Risk Sınıflandırması

Bir ihlal şüphesi fark edildiğinde, fark eden kişi derhal info@barofe.com adresine bildirimde bulunur. İhlaller aşağıdaki gibi sınıflandırılır:

Düşük Risk — Şifreli ve sınırlı etkili durumlar. Acil bildirim zorunlu olmayabilir; kayıt tutma yükümlülüğü devam eder.

Orta Risk — Sınırlı sayıda müşteriye ait verinin açığa çıkması. 72 saat içinde yetkili otoriteye bildirim gerekebilir.

Yüksek Risk — Finansal, kimlik veya özel nitelikli verilerin büyük ölçekte ifşası. 72 saat içinde bildirim zorunludur; etkilenen kişilere de makul sürede bildirim yapılmalıdır.

Müdahale Süreci

0–4 saat: İhlalin kapsamı değerlendirilir; etkilenen sistemler izole edilir ya da erişim kısıtlanır; log ve delil kayıtları korunur.

4–24 saat: Etkilenen veri kategorileri ve kişi sayısı belirlenir; ihlalin türü tespit edilir; kaynağı araştırılır; tüm bulgular tarih ve saatle birlikte kayıt altına alınır.

24–72 saat: İhlalin ilgili kişiler için risk oluşturduğu değerlendirilirse Kişisel Verileri Koruma Kurumu'na 72 saat içinde bildirim yapılır. Bildirim; ihlalin niteliği, etkilenen veri kategorileri, olası sonuçlar, alınan önlemler ve iletişim bilgilerini içerir.

Kayıt Tutma

Tüm ihlaller — bildirim eşiğine ulaşıp ulaşmadığına bakılmaksızın — kayıt altına alınır. Kayıtlar en az 3 yıl saklanır ve şunları içerir: tespit tarihi ve saati, tespit yöntemi, ihlalin türü ve kapsamı, etkilenen veri ve kişi sayısı, alınan önlemler, bildirim durumu.

Önleyici Tedbirler

Tüm veri iletimi SSL/TLS şifrelemesiyle korunur. Ödeme verileri PCI-DSS uyumlu ortamlarda işlenir ve BÂROFE sistemlerinde saklanmaz. Erişim yetkileri minimum yetki prensibine göre tanımlanır. Shopify altyapısı düzenli güncellenir. Tüm sistem erişimleri log kayıtlarıyla izlenir.

İletişim

BÂROFE Moda Tekstil Ürünleri Sanayi ve Dış Ticaret Limited Şirketi

Maslak Mahallesi, AOS 55. Sokak No: 42

Maslak B Blok Sitesi No: 4, Daire 542 — Sarıyer / İstanbul

info@barofe.com  |  www.barofe.com

kvkk.gov.tr  |  edpb.europa.eu